Kuzey Kore ile ilişkili daha büyük Lazarus Grubunun bir parçası olan gelişmiş bir kalıcı tehdit (APT) grubu olan BlueNoroff, ciddi kripto para birimi kayıplarına yol açan küçük ve orta ölçekli şirketlere yönelik bir dizi saldırının arkasında.
SnatchCrypto adlı kampanya, çalışmalarında kripto para birimleri ve akıllı sözleşmeler, merkezi olmayan finans, blok zinciri ve finansal teknoloji endüstrisi ile ilgilenen kuruluşları hedef alıyor, bunu gözlemleyen Kaspersky araştırmacılarına göre. Bu şirketler bir nedenden dolayı hedef alındıklarını söylediler: Startup’lar genellikle tanımadıkları göndericilerden mesajlar ve belgeler alırlar.
Araştırmacılar bir blog yazısında, “Çoğu kripto para birimi işletmesi küçük veya orta ölçekli girişimler olduğundan, iç güvenlik sistemlerine çok fazla yatırım yapamazlar” dedi. “Oyuncu bunu anlıyor ve ayrıntılı sosyal mühendislik şemaları kullanarak avantaj sağlıyor.”
Bu kampanyada saldırganlar, mevcut bir risk sermayesi şirketi gibi davranarak kurbanı manipüle etmeye çalışırlar. Araştırmacılar, bu saldırılarda kullanılan 15’ten fazla girişim şirketinin adını gördüler, ancak gerçek kuruluşların tehditle hiçbir ilgisi olmadığına inanıyorlar.
Araştırmacılar, saldırganların bu başlangıç çalışanlarına “bir sözleşme veya başka bir iş dosyası olarak gizlenmiş, gözetim işlevlerine sahip tam özellikli bir Windows arka kapısı” gönderdiğini bildiriyor. Dosya İnternet’e bağlı bir cihazda açılırsa, kötü amaçlı yazılım dağıtmak için makro etkin başka bir belge alınır.
Bu kötü amaçlı yazılım, hedefin genel bilgilerini ve PowerShell aracısını saldırganlara göndererek bir arka kapı oluşturur. Oradan BlueNoroff, kurbanları izlemek için bir keylogger ve ekran görüntüsü alıcısı dahil olmak üzere ek araçlar kullanır. Haftalar veya aylarca süren takipten sonra, saldırganlar belirgin bir hedef bulur ve topladıkları verileri onlardan büyük miktarda kripto para çalmak için kullanır.