Μια διαρκώς εξελισσόμενη απειλή στον κυβερνοχώρο από τον Όμιλο Lazarus της Βόρειας Κορέας σκοπεύει να πλήξει επαγγελματίες της κρυπτονομισματικής και Web3 βιομηχανίας με τη χρήση τεχνολογιών όπως ψεύτικες διεπαφές Zoom, σενάρια PowerShell που εκτελούνται χωρίς αρχεία και περιεχόμενο deepfake που παράγεται από τεχνητή νοημοσύνη.
Η ομάδα πίσω από αυτές τις επιθέσεις είναι γνωστή ως BlueNoroff, μια υποομάδα που φημίζεται για τις οικονομικά κίνητρες της και τις δραστηριότητες κλοπής ψηφιακών περιουσιακών στοιχείων. Οι επιθέσεις που αναπτύσσουν προκαλούν σοβαρές ανησυχίες στις χρηματοπιστωτικές και τεχνολογικές κοινότητες.
Αυτή η εκστρατεία έχει εξαπλωθεί σε περισσότερες από 20 χώρες, με τις Ηνωμένες Πολιτείες να καταγράφουν το 41% των ταυτοποιημένων θυμάτων. Το γεγονός αυτό δείχνει την παγκόσμια διάσταση του προβλήματος και την ανάγκη αυξημένης προσοχής και ασφάλειας από τις τεχνολογικές εταιρείες.
Διαδικασία Επίθεσης: Τα Στάδια
Η επίθεση συχνά ξεκινά με ένα email ηλεκτρονικού ψαρέματος, όπου ο δράστης προσποιείται ότι είναι νομικός επαγγελματίας στον τομέα του Fintech και αποστέλλει μια πρόσκληση μέσω Calendly στο θύμα.
Αφού το θύμα επιβεβαιώσει τη συνάντηση, ο εισβολέας αντικαθιστά το σύνδεσμο του Google Meet με μία παραποιημένη διεύθυνση URL του Zoom, η οποία περιέχει τυπογραφικά λάθη και φαίνεται σχεδόν πανομοιότυπη με την αυθεντική διεπαφή.
Όταν το θύμα κάνει κλικ στον ψεύτικο σύνδεσμο, εμφανίζεται μια ιστοσελίδα που προσομοιώνει την πραγματική διεπαφή Zoom, με ψεύτικα βίντεο και άλλες ενδείξεις που δημιουργούν την ψευδαίσθηση ότι βρίσκονται σε μια legit σύσκεψη.
Επιπτώσεις και Αποδείξεις
Η Arctic Wolf έχει αναγνωρίσει μια αυτούσια επίθεση εναντίον μιας βορειοαμερικανικής εταιρείας Web3 και κρυπτονομισμάτων, αποδίδοντας την με σιγουριά στην BlueNoroff, η οποία έχει συνδέσεις με άλλες γνωστές ομάδες επιθέσεων, όπως APT38 και Stardust Chollima.
Οι ερευνητές έχουν διαπιστώσει ότι η πλήρης διαδικασία της επίθεσης, από την αρχική αλληλεπίδραση έως τον συμβιβασμό του συστήματος, ολοκληρώνεται σε λιγότερο από πέντε λεπτά. Η ιατροδικαστική ανάλυση απέδειξε ότι οι δράστες διατηρούσαν πρόσβαση στη συσκευή του θύματος για 66 ημέρες, εκμεταλλευόμενοι τις πληροφορίες που αντλήθηκαν για να δημιουργήσουν πιο πειστικά θηλυκά για μελλοντικούς στόχους.
Η Τεχνολογία Πίσω από την Επίθεση
Σημαντικό στοιχείο της καμπάνιας είναι η αυτοενισχυόμενη παραγωγή deepfake. Οι αναλυτές έχουν ανακαλύψει περισσότερα από 950 αρχεία στον διακομιστή του εισβολέα, συμπεριλαμβανομένων εικόνων και βίντεο που δημιουργούνται από AI. Πιο συγκεκριμένα, οι εικόνες έχουν αποδειχθεί πως είναι παράγωγα του μοντέλου GPT-4 του OpenAI και προέρχονται από κλεμμένα πλάνα από webcam προηγούμενων θυμάτων.
Η Παράδοση του Κακόβουλου Λογισμικού
Αφού το θύμα συμμετάσχει στην ψεύτικη σύσκεψη Zoom, εμφανίζεται μια επικάλυψη που υποδεικνύει ότι το SDK του χρήστη είναι παλιό και χρειάζεται ενημέρωση. Αυτό θέτει σε εφαρμογή μια επίθεση τύπου ClickFix.
Το θύμα βλέπει όρους που μοιάζουν αβλαβείς, αλλά στην πραγματικότητα, η σελίδα αντικαθιστά σιωπηλά το περιεχόμενο του προχείρου με μια μυστική εντολή PowerShell κατά τη διάρκεια της διαδικασίας.
.webp)
Η εγχυθείσα εντολή PowerShell κατεβάζει ένα κακόβουλο σενάριο από τον διακομιστή του εισβολέα, το οποίο αποθηκεύεται στον φάκελο Temp του χρήστη και εκτελείται κρυφά, εγκαθιστώντας ένα μόνιμο σήμα C2 και συλλέγοντας δεδομένα σχετικά με τον υπολογιστή του θύματος.
Προτάσεις Ασφάλειας για Οργανισμούς
Οι οργανισμοί που δραστηριοποιούνται στο Web3, στα κρυπτονομίσματα και στις χρηματοοικονομικές υπηρεσίες θα πρέπει να επαληθεύουν όλους τους συνδέσμους συναντήσεων μέσω έγκυρης μεθόδου επικοινωνίας πριν συμμετάσχουν σε οποιαδήποτε κλήση. Είναι σημαντικό να κατανοήσουν ότι οι επίσημες πλατφόρμες δεν θα ζητήσουν ποτέ από τους χρήστες να εκτελέσουν εντολές τερματικού για διορθώσεις.
Επιπλέον, οι ομάδες ασφαλείας θα πρέπει να αποκλείσουν γνωστές διευθύνσεις C2, να καταργήσουν ύποπτα αρχεία και να αλλάξουν άμεσα όλους τους αποθηκευμένους κωδικούς πρόσβασης και τα API keys.
Η ενεργοποίηση της καταγραφής μπλοκ δέσμης ενεργειών PowerShell είναι επίσης σκόπιμη για την επιτυχία της ταχύτερης ανίχνευσης κακόβουλου λογισμικού.
Όλοι οι οργανισμοί πρέπει να εκτιμήσουν και να ενισχύσουν τις διαδικασίες ασφάλειάς τους, δεδομένου του συνεχώς αυξανόμενου κινδύνου από επιθέσεις όπως αυτές που εκκινούνται από την BlueNoroff.
