外媒：與朝鮮有關的 APT BlueNoroff 專注于加密貨幣盜竊

與朝鮮有關的 APT 組織BlueNoroff被發現針對使用虛假 MetaMask 瀏覽器擴展的加密貨幣初創公司。這個民族國家行為者被認為是在臭名昭著的與朝鮮有關的Lazarus APT組織的控制下運作的組織。

最新的一系列攻擊針對美國、俄羅斯、中國、印度、英國、烏克蘭、波蘭、捷克共和國、阿聯酋、新加坡、愛沙尼亞、越南、馬耳他、德國和香港的加密貨幣初創公司。

BlueNoroff 將重點從針對銀行和 SWIFT 連接的服務器的攻擊轉移到加密貨幣業務，研究人員還發現攻擊者建立了虛假的加密貨幣軟件開發公司，以誘騙受害者安裝看起來合法的應用程序，這些應用程序最終會收到木馬更新

卡巴斯基發布了一份報告，詳細介紹了 APT 集團自 2021 年 11 月以來開展的近期行動。

BlueNoroff 試圖與通過精確偵察確定的目標組織中的特定人員取得聯系。

在卡巴斯基描述的攻擊場景中，攻擊者通過 Google Drive 向受害者發送了一個同事/朋友向另一位同事/朋友共享文檔的通知。

一些攻擊中的攻擊者破壞了組織內員工的 LinkedIn 帳戶，并使用它來共享指向平臺上武器化文檔的鏈接。

APT 小組使用一個很小的“X”圖像來跟蹤他們的活動，他們使用第三方跟蹤服務 (Sendgrid) 在受害者打開發送的文檔時得到通知。

卡巴斯基分享了一份被攻擊者冒充的公司名稱列表，例如 CoinSquad、CoinBig、Anri 和 Abies Ventures。研究人員不知道這些公司的妥協。

對攻擊中使用的誘餌文件的分析表明，威脅參與者利用了一個遠程模板注入漏洞，該漏洞被跟蹤為CVE-2017-0199。

APT 組織使用的另一個攻擊鏈依賴于發送包含受密碼保護的文檔（Excel、Word 或 PDF）的存檔和偽裝成包含文檔密碼的文本文件的快捷方式文件。

多階段感染過程以釋放支持以下功能的后門結束：

• 目錄/文件操作
• 過程操作
• 注冊表操作
• 執行命令
• 更新配置
• 從 Chrome、Putty 和 WinSCP 竊取存儲的數據

攻擊者使用惡意軟件 BlueNoroff 竊取用戶憑據進行橫向移動并破壞受害者網絡中盡可能多的系統。在某些情況下，攻擊者會在數周內仔細監控目標網絡內的用戶和數據流，同時制定金融盜竊策略，尤其是針對突出的目標。

“如果攻擊者意識到目標使用流行的瀏覽器擴展來管理加密錢包（例如 Metamask 擴展），他們會將擴展源從 Web Store 更改為本地存儲，并將核心擴展組件（backgorund.js）替換為被篡改的版本。起初，他們對監控交易感興趣。” 閱讀卡巴斯基發布的分析。

卡巴斯基強調了 BlueNoroff 團隊的高超技能，他們能夠通過分析 170,000 行代碼來篡改 Metamask Chrome 擴展。

唯一發現擴展是假的是在調試模式下分析擴展源，發現它指向本地目錄而不是在線商店。

在針對硬件錢包的攻擊中，威脅行為者通過更改接收者的地址來劫持交易，試圖竊取最大的可用金額。

歸因于與朝鮮有關的 APT 是基于 PowerShell 腳本和過去活動中使用的后門之間的重疊和相似性。

專家們還在 C2 地址獲取過程中發現了與 2016 年攻擊的相似之處，這些攻擊使用硬編碼的 DWORD 值通過 XORing 解析 IP 地址。

該報告包括此攻擊的妥協指標 (IoC)。