کسپرسکی، یک آزمایشگاه امنیت سایبری، هشدار را در مورد تاکتیکهای فیشینگ جدید توسط گروه BlueNoroff به صدا در میآورد. هکرها توسط کره شمالی حمایت مالی می شوند که انگیزه مالی برای سود بردن از حملات سایبری خود علیه شرکت های مالی از جمله نهادهای رمزنگاری دارند.
BlueNoroff بیش از 70 دامنه جعلی ایجاد کرده است که تقلید می کنند سرمایه گذاری شرکت ها و بانک ها اکثر متقلبان خود را به عنوان شرکت های معروف ژاپنی معرفی کردند. با این حال، برخی ادعا کردند که اهل ایالات متحده و ویتنام هستند.
گروه BlueNoroff اغلب بدافزار را از طریق اسناد word و فایل های میانبر تزریق می کند. آخرین بدافزار آنها می تواند از پرچم Mark-of-the-Web (MOTW) فرار کند.
گزارش Kaspersky نشان داد که گروه BlueNoroff در حال آزمایش انواع جدیدی از فایلها و سایر روشهای توزیع بدافزار است.
پس از نصب، بدافزار آن هشدارهای امنیتی MOTW ویندوز در مورد دانلود محتوا را دور می زند. پس از آن، ویروس رهگیری بزرگ کریپتو کارنسی (رمز ارزها ) نقل و انتقالات، تغییر آدرس کیف پول گیرنده و افزایش مبلغ انتقال تا حداکثر سقف، تخلیه حساب در یک تراکنش واحد.
سئونگ سو پارک، یکی از محققان کسپرسکی، به افزایش حملات سایبری در سال 2023 اشاره کرد. پارک بر لزوم امنیت کسب و کارها بیش از همیشه با ظهور کمپین های مخرب جدید تاکید کرد.
فشار هکرهای کره شمالی بر امنیت
La تهدید کره شمالی این بازیگر برای اولین بار در سال 2016 به یک بانک مرکزی بنگلادش حمله کرد و در رادار سرویس های امنیت سایبری ایالات متحده کشورها قرار گرفت.
دفتر تحقیقات فدرال ایالات متحده (FBI)، در همکاری با آژانس امنیت سایبری و امنیت زیرساخت (CISA)، به همه شرکتهای ارزهای دیجیتال مستقر در آمریکا توصیه کرد که معماری امنیتی خود را در برابر مهاجمان احتمالی هکرهای کره شمالی تقویت کنند.
اخیراً یک گزارش امنیتی berber Group-IB نشان داد که از سال 2017 بیش از 882 میلیون دلار از صرافی های ارز دیجیتال توسط گروه لازاروس تحت حمایت دولت به سرقت رفته است.
گفته می شود این گروه مسئول بهره برداری 600 میلیون دلاری Ronin Bridge در ماه مارس است و اخیراً مشاهده شد که از بیش از 500 دامنه برای سرقت توکن های غیرقابل تعویض (NFT) استفاده می کند.
متأسفانه صرافی های رمزنگاری تنها قربانیان این هکرهای کره ای نیستند. گزارش Group-IB همچنین نشان داد که بیش از 10 درصد از وجوه کمپین های عرضه اولیه (ICO) از سال 2017 به سرقت رفته است.
بخشی از یک عملیات بزرگتر؟
اتاق 39، یک است سازمان مخفی در داخل دولت کره شمالی که مسئول تولید ارز خارجی از منابع غیرقانونی برای این کشور است. شواهدی وجود دارد که نشان میدهد این شرکت در تعدادی از فعالیتهای غیرقانونی از جمله جعل و قاچاق مواد مخدر و همچنین سایر سرمایهگذاریهای غیرقانونی مانند فروش اسلحه و هک کردن
جداشدگان کره شمالی می گویند که این ساختمان از ساختمانی در پایتخت پیونگ یانگ اداره می شود و گفته می شود که سرپرستی اعضای خانواده کیم است که سه نسل در کره شمالی قدرت را در دست داشتند.
ماهیت دقیق و دامنه فعالیت های اتاق 39 در هاله ای از ابهام قرار دارد، زیرا به دلیل ماهیت غیرقانونی عملیات، مخفیانه عمل می کند. احتمالاً منبع اصلی تأمین مالی برای دیکتاتوری کره شمالی است و تصور می شود که مسئول تولید صدها میلیون دلار پول سیاه در هر سال باشد.
اعتقاد بر این است که این سازمان ارتباطات بین المللی گسترده ای دارد و ممکن است نیروی کار برده صادر کند به کشورهای اروپایی برای استفاده از هزینه های بالاتر نیروی کار در اتحادیه اروپا در مقایسه با شرق آسیا.
کره شمالی مدتهاست که تحت تحریمهای آمریکا قرار دارد که دسترسی این کشور به ذخایر ارزی را تحت فشار قرار میدهد. با برخورد با مشاغل غیرقانونی و مبتنی بر پول نقد، این کشور میتواند به وجوه نقد دسترسی داشته باشد، به همین دلیل است که هکرهای کره شمالی در حال حاضر به دنبال ارزهای دیجیتال بیشتری هستند.
یک چالش دیگر برای کره شمالی
غیرممکن است که بدانیم اتاق 39 پشت این هک های مداوم است یا خیر، اما کره شمالی به آن شهرت دارد معاملات سایه که دارایی های نقدی را افزایش می دهد. یکی دیگر از مشاغل غیرقانونی دیرینه برای کره شمالی، تولید و صادرات مت آمفتامین است که یکی از فراریان این کشور ادعا می کند که این کار بوده است. تحت دستور مستقیم انجام می شود کیم جونگ ایل
این ماده به طور گسترده توسط جمعیت محلی استفاده می شود. بر اساس برخی برآوردها، نیمی از جمعیت کره شمالی از دارو استفاده می کندکه به مقدار زیاد نیز صادر می شود. کشورهای همسایه مانند چین، بازارهای اصلی صادراتی هستند، اما کشورهای دیگر مانند ایالات متحده، محمولههای مت از کره شمالی را رهگیری کردهاند.
مانند هکهای کریپتو، کسبوکارهای غیرقانونی مانند تولید مت از حمایتهای دولتی کره شمالی بهره میبرند، که این احتمال وجود دارد که بدون مانع ادامه دهند.
منبع: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/