Noord-Koreaanse hackers hebben hun methoden veranderd in een escalatie van hun cyberoorlog-tactieken. Ze gebruiken nu phishing-e-mails als primair middel om cryptocurrency-bedrijven te targeten.
Een recent rapport van het cybersecurity onderzoeksbureau SentinelLabs koppelt deze verschuiving aan BlueNoroff, een beruchte subgroep binnen de Lazarus Group.
Noord-Koreaanse hackers schakelen over naar phishing in ‘hidden risk’-campagne
BlueNoroff staat bekend om uitgebreide cybercriminaliteit gericht op het financieren van Noord-Korea’s nucleaire en wapeninitiatieven. De nieuwe campagne, genaamd ‘Hidden Risk’, onthult een strategische verschuiving van social media grooming naar meer directe, op e-mail gebaseerde infiltratie.
Hackers hebben hun inspanningen in de ‘Hidden Risk’ campagne geïntensiveerd door gebruik te maken van zeer gerichte phishing-e-mails. Vermomd als crypto nieuwsalerts over Bitcoin koersen of updates over trends in gedecentraliseerde financiën (DeFi), lokken deze e-mails ontvangers om op schijnbaar legitieme links te klikken. Eenmaal aangeklikt, leveren deze links malware-beladen applicaties aan de apparaten van gebruikers, waardoor aanvallers directe toegang krijgen tot gevoelige bedrijfsgegevens.
“De campagne, die we ‘Hidden Risk’ hebben genoemd, gebruikt e-mails die nepnieuws over cryptocurrencytrends verspreiden om doelwitten te infecteren via een kwaadaardige applicatie vermomd als een PDF-bestand,” meldt het rapport.
De malware in de ‘Hidden Risk’ campagne is opmerkelijk geavanceerd en omzeilt effectief de ingebouwde beveiligingsprotocollen van Apple. Met behulp van legitieme Apple Developer ID’s, ontwijkt het het Gatekeeper-systeem van macOS, wat aanzienlijke zorgen heeft gewekt onder cybersecurityexperts.
Noord-Koreaanse hackers hebben traditioneel vertrouwd op uitgebreide social media grooming om vertrouwen op te bouwen met medewerkers van crypto- en financiële bedrijven. Door interactie met doelwitten op platforms zoals LinkedIn en Twitter, creëerden ze de illusie van legitieme professionele relaties. Hoewel effectief, was deze geduldige methode tijdrovend, wat leidde tot een verschuiving naar snellere, op malware gebaseerde tactieken.
De hackactiviteiten van Noord-Korea zijn geïntensiveerd nu de cryptosector blijft groeien. Momenteel gewaardeerd op meer dan $2,6 biljoen, is de cryptoruimte een aantrekkelijk doelwit voor door Noord-Korea gesponsorde hackers. Het rapport van SentinelLabs benadrukt hoe deze omgeving bijzonder vatbaar is voor cyberaanvallen, waardoor het een lucratief jachtterrein is voor Lazarus.
Een groeiende dreiging voor de cryptomarkt
Volgens een recente waarschuwing van de FBI, hebben Noord-Koreaanse hackers zich geconcentreerd op DeFi en beursgenoteerde fonds (ETF) bedrijven. Ze maken gebruik van social engineering en phishingcampagnes die rechtstreeks gericht zijn op medewerkers binnen deze sectoren. De waarschuwingen hebben bedrijven aangespoord hun beveiligingsprotocollen te versterken en in het bijzonder geadviseerd om cliënt walletadressen te controleren tegen bekende hacker-gerelateerde adressen.
BeInCrypto meldde ook hoe de Lazarus Group heeft geleerd om westerse sancties te omzeilen. Ze manipuleerden mazen in internationale regelgeving om crypto-gebaseerde witwaspraktijken te faciliteren. Een belangrijke mijlpaal in deze tijdlijn was het gebruik van het RailGun privacyprotocol, dat anonieme transacties op de Ethereum blockchain mogelijk maakt.
De Amerikaanse overheid is niet passief gebleven in reactie op de geëscaleerde cybercampagnes van Noord-Korea. Het ministerie van Financiën heeft de crypto mixing service Tornado Cash gesanctioneerd, vanwege de rol ervan in het helpen van Noord-Koreaanse hackers bij het verbergen van illegale transacties. Tornado Cash, vergelijkbaar met RailGun, stelt gebruikers in staat om cryptocurrencybewegingen te anonimiseren, waardoor hackers een krachtig hulpmiddel krijgen om hun sporen te verbergen.
De sancties waren onderdeel van een bredere aanpak, waarbij de crypto-gerelateerde activiteiten van Noord-Korea een belangrijk aandachtspunt worden voor westerse overheden. De timing van deze sancties valt samen met de geïntensiveerde activiteiten van Noord-Korea in de cryptosector, vooral via Lazarus.
Gezien de verfijning van de nieuwe ‘Hidden Risk’ campagne, adviseert SentinelLabs macOS-gebruikers en organisaties, met name die betrokken zijn bij cryptocurrency, om de beveiligingsmaatregelen te verhogen. Ze raden bedrijven aan om grondige malware-scans uit te voeren, ontwikkelaarshandtekeningen te controleren en het downloaden van bijlagen uit ongevraagde e-mails te vermijden.
Deze proactieve stappen zijn essentieel om te beschermen tegen steeds complexere malware die ontworpen is om verborgen te blijven binnen systemen.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
