Οι χάκερ BlueNoroff της Βόρειας Κορέας έχουν ενημερώσει το οπλοστάσιό τους και τις τεχνικές παράδοσης σε ένα νέο κύμα επιθέσεων που στοχεύουν τράπεζες και εταιρείες επιχειρηματικών κεφαλαίων, αναφέρει η εταιρεία κυβερνοασφάλειας Kaspersky.
Μέρος του Lazarus, μιας ομάδας χάκερ που συνδέεται με την κυβέρνηση της Βόρειας Κορέας, η BlueNoroff έχει οικονομικά κίνητρα και κατηγορούνται για πολλές κυβερνοεπιθέσεις με στόχο τράπεζες, εταιρείες κρυπτονομισμάτων και άλλα χρηματοπιστωτικά ιδρύματα.
Μετά από αρκετούς μήνες σιωπής, η ομάδα ξεκίνησε ξανά τις δραστηριότητές της αυτό το φθινόπωρο με ανανεωμένες επιθέσεις που αξιοποιούν νέο κακόβουλο λογισμικό και ενημερωμένες τεχνικές παράδοσης που περιλαμβάνουν νέους τύπους αρχείων καιμέθοδος παράκαμψης Προστασία Mark-of-the-Web (MotW) της Microsoft.
Συγκεκριμένα, οι χάκερ διανέμουν αρχεία εικόνας οπτικού δίσκου (.iso) και εικονικού σκληρού δίσκου (.vhd) που περιέχουν παραπλανητικά έγγραφα του Office, κάτι που τους επιτρέπει να αποφύγουν την προειδοποίηση MotW που εμφανίζεται συνήθως στα Windows όταν ένας χρήστης προσπαθεί να ανοίξει ένα έγγραφο που έχει ληφθεί από το Διαδίκτυο.
Βασιζόμενη στο ηλεκτρονικό ψάρεμα, το BlueNoroff προσπαθεί να μολύνει οργανισμούς-στόχους για να υποκλέψει μεταφορές κρυπτονομισμάτων και να αποστραγγίσει λογαριασμούς.
Ως μέρος του νέα καμπάνια, η ομάδα hacking έχει καταχωρίσει περίπου 70 ψεύτικους τομείς που μιμούνται γνωστές τράπεζες και εταιρείες επιχειρηματικών κεφαλαίων, με έμφαση στις ιαπωνικές εταιρείες. Στο στόχαστρο είναι επίσης οργανισμοί στα Ηνωμένα Αραβικά Εμιράτα, τις ΗΠΑ και το Βιετνάμ. Αυτοί οι τομείς έχουν χρησιμοποιηθεί για επιθέσεις phishing που στοχεύουν σε υπαλλήλους εκκίνησης.
Σύμφωνα με την Kaspersky, η ομάδα «υιοθέτησε επίσης νέες τεχνικές για τη μεταφορά του τελικού ωφέλιμου φορτίου», συμπεριλαμβανομένης της χρήσης σεναρίων Visual Basic Script και Windows Batch, και την εισαγωγή ενός νέου προγράμματος λήψης για την ανάκτηση του ωφέλιμου φορτίου επόμενου σταδίου.
Τον Σεπτέμβριο, ένα θύμα στα Ηνωμένα Αραβικά Εμιράτα στοχοποιήθηκε με ένα κακόβουλο έγγραφο του Office σχεδιασμένο για σύνδεση σε έναν απομακρυσμένο διακομιστή και λήψη ενός ωφέλιμου φορτίου με το όνομα ieinstal.exe, το οποίο βοήθησε στην παράκαμψη των προστασιών ελέγχου πρόσβασης χρήστη (UAC).
Μετά τη μόλυνση, ο hacker χρησιμοποίησε την κερκόπορτα για να εκτελέσει πρακτικές δραστηριότητες με πληκτρολόγιο, όπως δακτυλικά αποτυπώματα και εγκατάσταση πρόσθετου κακόβουλου λογισμικού με υψηλά προνόμια.
Σε μια άλλη επίθεση, η ομάδα παρατηρήθηκε χρησιμοποιώντας ένα πρόγραμμα λήψης που ελέγχει το σύστημα για προγράμματα προστασίας από ιούς από Avast, Avira, Bitdefender, Kaspersky, Microsoft, Sophos και Trend Micro, για να τα απενεργοποιήσει.
Παρατηρήθηκε επίσης το BlueNoroff να εκμεταλλεύεται ζωντανά δυαδικά αρχεία (LOLBins) και να χρησιμοποιεί διάφορα σενάρια για να εμφανίσει ένα έγγραφο δόλωμα και να φέρει το ωφέλιμο φορτίο επόμενου σταδίου, καθώς και να χρησιμοποιεί ένα νέο πρόγραμμα λήψης εκτελέσιμου τύπου Windows που δημιουργεί ένα ψεύτικο αρχείο κωδικού πρόσβασης και κατεβάζει ένα ωφέλιμο φορτίο.
Στο πλαίσιο της εκστρατείας, οι χάκερ χρησιμοποίησαν επίσης ψεύτικους τομείς για τη φιλοξενία κακόβουλων εγγράφων και ωφέλιμων φορτίων, καθώς και ψεύτικους τομείς που μιμούνται νόμιμες χρηματοοικονομικές και επενδυτικές εταιρείες, οι περισσότερες από τις οποίες είναι ιαπωνικοί οργανισμοί. Τον τελευταίο καιρό, ο όμιλος στόχευσε επίσης επιχειρήσεις που σχετίζονται με κρυπτονομίσματα.
«Όπως μπορούμε να δούμε από το τελευταίο μας εύρημα, αυτός ο διαβόητος hacker έχει εισαγάγει μικρές τροποποιήσεις για να παραδώσει το κακόβουλο λογισμικό του. Αυτό υποδηλώνει επίσης ότι οι επιθέσεις από αυτήν την ομάδα είναι απίθανο να μειωθούν στο εγγύς μέλλον», καταλήγει η Kaspersky.
Συνιστάται στους οργανισμούς να εκπαιδεύουν τους υπαλλήλους τους στο ηλεκτρονικό ψάρεμα, να πραγματοποιούν έλεγχο δικτύου για τον εντοπισμό τρωτών σημείων και αδυναμιών και να αναπτύσσουν και να διατηρούν λύσεις ασφαλείας που προσφέρουν προστασία τελικού σημείου και δυνατότητες ανίχνευσης και απόκρισης απειλών.