azulnoroffun subclúster del notorio Lazarus Group, ha sido observado adoptando nuevas técnicas en su libro de jugadas que le permiten eludir Windows marca de la web (MotW) protecciones.
Esto incluye el uso de formatos de archivo de imagen de disco óptico (extensión .ISO) y disco duro virtual (extensión .VHD) como parte de una nueva cadena de infección, reveló Kaspersky en un informe publicado hoy.
“BlueNoroff creó numerosos dominios falsos haciéndose pasar por compañías de capital de riesgo y bancos”, el investigador de seguridad Seongsu Park dijoagregando que el nuevo procedimiento de ataque se marcó en su telemetría en septiembre de 2022.
Se ha descubierto que algunos de los dominios falsos imitan a ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group, la mayoría de los cuales se encuentran en Japón, lo que indica un “gran interés” en la región.
También llamado por los nombres APT38, Nickel Gladstone y Stardust Chollima, BlueNoroff es parte del grupo de amenazas Lazarus más grande que también comprende Andariel (alias Nickel Hyatt o Silent Chollima) y Labyrinth Chollima (alias Nickel Academy).
El actor de amenazas motivaciones financieras a diferencia del espionaje, lo ha convertido en un actor de estado-nación inusual en el panorama de amenazas, lo que permite una “dispersión geográfica más amplia” y le permite infiltrarse en organizaciones en América del Norte y del Sur, Europa, África y Asia.
Desde entonces, se ha asociado con ataques cibernéticos de alto perfil dirigidos a la red bancaria SWIFT entre 2015 y 2016, incluido el audaz atraco al Banco de Bangladesh en febrero de 2016 que condujo a la robo de $81 millones.
Desde al menos 2018, BlueNoroff parece haber experimentado un cambio táctico, alejándose de los bancos en huelga para centrarse únicamente en las entidades de criptomonedas para generar ingresos ilícitos.
Con ese fin, Kaspersky a principios de este año reveló detalles de una campaña denominada SnatchCrypto orquestada por el colectivo adversario para drenar los fondos digitales de las billeteras de criptomonedas de las víctimas.
Otro actividad clave atribuido al grupo es AppleJeus, en el que se establecen compañías de criptomonedas falsas para atraer a víctimas involuntarias para que instalen aplicaciones de apariencia benigna que eventualmente reciben actualizaciones de puerta trasera.
La última actividad identificada por la empresa rusa de ciberseguridad introduce ligeras modificaciones para transmitir su carga útil final, intercambiando archivos adjuntos de documentos de Microsoft Word por archivos ISO en correos electrónicos de phishing para desencadenar la infección.
Estos archivos de imagen óptica, a su vez, contienen una presentación de diapositivas de Microsoft PowerPoint (.PPSX) y un script de Visual Basic (VBScript) que se ejecuta cuando el objetivo hace clic en un vínculo del archivo de PowerPoint.
En un método alternativo, se inicia un archivo por lotes de Windows con malware mediante la explotación de un binario living-off-the-land (LOLBin) para recuperar un descargador de segunda etapa que se usa para obtener y ejecutar una carga útil remota.
Kaspersky también descubrió una muestra .VHD que viene con un archivo PDF de descripción de trabajo de señuelo que está armado para generar un descargador intermedio que se hace pasar por software antivirus para obtener la carga útil de la siguiente etapa, pero no antes. deshabilitar soluciones EDR genuinas mediante la eliminación de ganchos de modo de usuario.
Si bien la puerta trasera entregada no está clara, se considera que es similar a una puerta trasera de persistencia utilizada en los ataques de SnatchCrypto.
El uso de nombres de archivo japoneses para uno de los documentos señuelos, así como la creación de dominios fraudulentos disfrazados de compañías de capital de riesgo japonesas legítimas, sugiere que las firmas financieras en el país insular probablemente sean un objetivo de BlueNoroff.
La guerra cibernética ha sido un foco importante de Corea del Norte en respuesta a sanciones económicas impuso por varios países y las Naciones Unidas debido a las preocupaciones sobre sus programas nucleares. También se ha convertido en una importante fuente de ingresos para el país con problemas de liquidez.
De hecho, según el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, se estima que los piratas informáticos norcoreanos patrocinados por el estado tienen robado $ 1.2 mil millones en criptomonedas y otros activos digitales de objetivos de todo el mundo durante los últimos cinco años.
“Este grupo tiene una fuerte motivación financiera y, de hecho, logra obtener ganancias de sus ataques cibernéticos”, dijo Park. “Esto también sugiere que es poco probable que los ataques de este grupo disminuyan en un futuro próximo”.