BlueNoroff, qui fait partie du groupe Lazarus parrainé par l’État nord-coréen, a renouvelé son ciblage des sociétés de capital-risque, des startups cryptographiques et des banques. Laboratoire de cybersécurité Kaspersky signalé que le groupe a montré un pic d’activité après une accalmie pendant la majeure partie de l’année et qu’il teste de nouvelles méthodes de livraison pour ses logiciels malveillants.
BlueNoroff a créé plus de 70 faux domaines qui imitent les sociétés de capital-risque et les banques. La plupart des contrefaçons se présentaient comme des entreprises japonaises bien connues, mais certaines ont également pris l’identité d’entreprises américaines et vietnamiennes.
BlueNoroff introduit de nouvelles méthodes contournant le MoTWhttps://t.co/C6q0l1mWqo
— Nouvelles sur les pentes (@PentestingN) 27 décembre 2022
Le groupe a expérimenté de nouveaux types de fichiers et d’autres méthodes de diffusion de logiciels malveillants, selon le rapport. Une fois en place, son logiciel malveillant échappe aux avertissements de sécurité de Windows Mark-of-the-Web concernant le téléchargement de contenu, puis continue à « intercepter d’importants transferts de crypto-monnaie, en modifiant l’adresse du destinataire et en poussant le montant du transfert à la limite, épuisant essentiellement le compte en une seule transaction.
En relation: Lazarus de Corée du Nord derrière des années de piratage de crypto au Japon – Police
Selon Kaspersky, le problème avec les acteurs de la menace s’aggrave. Chercheur Parc Seongsu m’a dit dans un rapport:
« L’année à venir sera marquée par les cyber-épidémies les plus impactantes, dont la force n’a jamais été vue auparavant. […] Au seuil de nouvelles campagnes malveillantes, les entreprises doivent être plus sécurisées que jamais.
Le sous-groupe BlueNoroff de Lazarus a été identifié pour la première fois après avoir attaqué la banque centrale du Bangladesh en 2016. Il faisait partie d’un groupe de cybermenaces nord-coréennes que l’Agence américaine de cybersécurité et de sécurité des infrastructures et le Federal Bureau of Investigation ont mentionné dans une alerte publiée en avril.
Des acteurs de la menace nord-coréens associés au groupe Lazarus ont également été aperçus en train de tenter de voler des jetons non fongibles ces dernières semaines. Le groupe était responsable de l’exploit de Ronin Bridge de 600 millions de dollars en mars.