BlueNoroff, bagian dari Lazarus Group yang disponsori negara Korea Utara, telah memperbarui fokusnya pada perusahaan modal bisnis, startup crypto, dan bank. Laboratorium keamanan siber Kaspersky melaporkan bahwa grup tersebut telah menunjukkan lonjakan aktivitas setelah jeda selama sebagian besar tahun dan sedang menguji metode pasokan baru untuk malware-nya.
BlueNoroff telah menciptakan lebih dari 70 domain palsu yang meniru perusahaan modal bisnis dan bank. Banyak dari yang palsu memperkenalkan diri mereka sebagai perusahaan Jepang yang terkenal, tetapi beberapa juga mengambil identitas perusahaan Amerika Serikat dan Vietnam.
BlueNoroff memperkenalkan strategi baru melewati MoTWhttps://t.co/C6q0l1mWqo
— Informasi Pentesting (@PentestingN) 27 Desember 2022
Grup tersebut telah bereksperimen dengan jenis file baru dan strategi pengiriman malware lainnya, menurut laporan tersebut. Setelah terpasang, malware-nya menghindari peringatan keamanan Mark-of-the-Net Windows tentang pengunduhan konten dan kemudian melanjutkan untuk “mencegat transfer cryptocurrency besar-besaran, mengubah alamat penerima, dan mendorong nomor pengalihan ke batas, terutama menguras rekening dalam satu transaksi.”
Terkait: Lazarus Korea Utara di balik peretasan kripto selama bertahun-tahun di Jepang — Polisi
Menanggapi Kaspersky, masalah dengan aktor ancaman semakin memburuk. Peneliti Seongsu Park menyebutkan dalam sebuah pengumuman:
“Tahun mendatang akan ditandai oleh epidemi dunia maya dengan dampak terbesar, yang kekuatannya belum pernah terlihat sebelumnya. […] Di ambang kampanye jahat terbaru, perusahaan harus lebih aman dari sebelumnya.”
Subkelompok BlueNoroff dari Lazarus pertama kali dikenali setelah menyerang lembaga keuangan pusat Bangladesh pada tahun 2016. Itu adalah salah satu kelompok ancaman dunia maya Korea Utara yang dibicarakan oleh Perusahaan Keamanan Siber dan Keamanan Infrastruktur AS dan Biro Investigasi Federal dalam peringatan yang dikeluarkan pada bulan April.
Aktor ancaman Korea Utara yang terkait dengan Grup Lazarus juga terlihat mencoba mencuri token yang tidak dapat dipertukarkan dalam beberapa minggu terakhir. Grup tersebut bertanggung jawab atas eksploitasi Ronin Bridge senilai $600 juta pada bulan Maret.
