Σύμφωνα με μια έκθεση της Kaspersky, μια hacking ομάδα από τη Βόρεια Κορέα, που είναι γνωστή ως “BlueNoroff” φαίνεται πως στοχεύει cryptocurrency startups με κακόβουλα έγγραφα και ψεύτικες browser επεκτάσεις MetaMask.
Το κίνητρο αυτής της ομάδας είναι καθαρά οικονομικό, αλλά οι πολύπλοκες και εξελιγμένες μέθοδοί της είχαν προηγουμένως οδηγήσει τους ερευνητές στο συμπέρασμα ότι πρόκειται για μια υποομάδα της γνωστής συμμορίας Lazarus (που συνδέεται με την κυβέρνηση της Βόρειας Κορέας).
Δείτε επίσης: Kim Kardashian και Floyd Mayweather κατηγορούνται για crypto απάτη
Οι BlueNoroff hackers δραστηριοποιούνται εδώ και αρκετά χρόνια, ωστόσο δεν γνωρίζουμε πολλά πράγματα για τη δομή και τη λειτουργία τους.
Μια αναφορά της Kaspersky επιχειρεί να ρίξει λίγο φως χρησιμοποιώντας τα στοιχεία που συλλέχθηκαν κατά την πιο πρόσφατη εκστρατεία τους, τον Νοέμβριο του 2021.
Στόχοι
Σύμφωνα με τους ερευνητές, οι τελευταίες επιθέσεις, που ανακαλύφθηκαν, επικεντρώνονταν σε cryptocurrency startups που βρίσκονται σε διάφορες χώρες, όπως: ΗΠΑ, Ρωσία, Κίνα, Ινδία, Γερμανία, Ηνωμένο Βασίλειο, Πολωνία, Ουκρανία, Τσεχία, Εσθονία, ΗΑΕ, Μάλτα, Σιγκαπούρη, Βιετνάμ και Χονγκ Κονγκ.
Οι εγκληματίες του κυβερνοχώρου προσπαθούν να παραβιάσουν τις επικοινωνίες των εργαζομένων αυτών των εταιρειών, παρακολουθώντας τις αλληλεπιδράσεις τους, ώστε να μπορούν να πραγματοποιήσουν social engineering επιθέσεις. Έτσι, χρησιμοποιούν τις πραγματικές συνομιλίες για να στείλουν κακόβουλα έγγραφα (που φαίνεται να σχετίζονται με το θέμα συζήτησης) χωρίς να κινήσουν υποψίες.
Σε ορισμένες περιπτώσεις, οι hackers παραβίασαν τον λογαριασμό LinkedIn ενός υπαλλήλου και έκαναν share έναν σύνδεσμο για τη λήψη ενός εγγράφου με μακροεντολές, απευθείας στην πλατφόρμα.
Για την παρακολούθηση της καμπάνιας τους, οι hackers περιλαμβάνουν ένα εικονίδιο από μια third-party tracking υπηρεσία (Sendgrid) για να λάβουν μια ειδοποίηση όταν το θύμα ανοίξει το απεσταλμένο έγγραφο.
Δείτε επίσης: Συνελήφθη συμμορία ransomware που έπληξε πάνω από 50 εταιρείες
Τα ονόματα και τα λογότυπα των εταιρειών που χρησιμοποίησε η BlueNoroff για να ξεγελάσει τους υπαλλήλους, φαίνονται παρακάτω:
Όπως επισημαίνει η Kaspersky, αυτές οι εταιρείες μπορεί να μην έχουν παραβιαστεί και η Sendgrid μπορεί να μην γνώριζε (τώρα ειδοποιήθηκε) ότι η hacking ομάδα έκανε κατάχρηση των υπηρεσιών της.
Τρόποι μόλυνσης συστημάτων
Η πρώτη αλυσίδα μόλυνσης χρησιμοποιεί έγγραφα που διαθέτουν VBS scripts, τα οποία εκμεταλλεύονται μια παλιά remote template injection ευπάθεια (CVE-2017-0199).
Η δεύτερη αλυσίδα μόλυνσης βασίζεται στην αποστολή ενός archive που περιέχει ένα αρχείο συντόμευσης και ένα έγγραφο που προστατεύεται με κωδικό πρόσβασης (Excel, Word ή PDF). Το αρχείο LNK που υποτίθεται ότι περιέχει τον κωδικό πρόσβασης για το άνοιγμα του εγγράφου ξεκινά μια σειρά scripts που εγκαθιστούν το payload δεύτερου σταδίου.
Και στις δύο περιπτώσεις, γίνεται εγκατάσταση ενός backdoor στη μολυσμένη συσκευή. Το backdoor έχει τις ακόλουθες λειτουργίες:
- Χειρισμός καταλόγου/αρχείου
- Χειρισμός διαδικασιών
- Χειρισμός μητρώου
- Εκτέλεση εντολών
- Ενημέρωση διαμόρφωσης
- Κλοπή αποθηκευμένων δεδομένων από το Chrome, το Putty και το WinSCP
Ψεύτικη επέκταση MetaMask κλέβει cryptocurrencies από θύματα
Οι BlueNoroff hackers κλέβουν credentials χρηστών που μπορούν να χρησιμοποιηθούν για lateral movement και βαθύτερη διείσδυση στο δίκτυο, ενώ συλλέγουν επίσης configuration files σχετικά με cryptocurrency software.
“Σε ορισμένες περιπτώσεις όπου οι επιτιθέμενοι συνειδητοποίησαν ότι είχαν βρει έναν μεγάλο στόχο, παρακολουθούσαν προσεκτικά τον χρήστη για εβδομάδες ή μήνες“, αναφέρει η έκθεση της Kaspersky.
“Συγκέντρωναν πληκτρολογήσεις και παρακολουθούσαν τις καθημερινές λειτουργίες του χρήστη ενώ σχεδίαζαν μια στρατηγική για κλοπή“.
Δείτε επίσης: Apple: Διορθώνει σφάλμα DoorLock που απενεργοποιεί τα iPhone και iPad
Το κύριο τέχνασμα των hackers για την κλοπή cryptocurrency assets είναι η αντικατάσταση των βασικών στοιχείων των wallet management browser extensions με παραποιημένες εκδόσεις.
Οι συγκεκριμένοι hackers χρησιμοποιούσαν μια τροποποιημένη έκδοση της επέκτασης Metamask.
Τα θύματα μπορούν να εντοπίσουν ότι η επέκταση είναι ψεύτικη μόνο αν αλλάξουν το πρόγραμμα περιήγησης σε Developer mode και δουν ότι η πηγή της επέκτασης δείχνει έναν τοπικό κατάλογο και όχι το ηλεκτρονικό κατάστημα.
Η χρήση της ψεύτικης επέκτασης Metamask, επιτρέπει στους hackers να κλέψουν cryptocurrency, όταν ο στόχος χρησιμοποιεί ένα hardware wallet. Οι εγκληματίες περιμένουν για συναλλαγές και κλέβουν τα ποσά αλλάζοντας τη διεύθυνση του παραλήπτη.
Επειδή έχουν μόνο μία ευκαιρία πριν το θύμα συνειδητοποιήσει τη μόλυνση, οι hackers αλλάζουν το ποσό της συναλλαγής στο μέγιστο δυνατό, εξαντλώντας τα assets με μία κίνηση.
Περισσότερες λεπτομέρειες μπορείτε να μάθετε στην έκθεση της Kaspersky.
Πηγή: Bleeping Computer