Utrecht, 13 januari 2022 – Kaspersky-experts hebben een reeks aanvallen van advanced persistent threat (APT) actor BlueNoroff tegen kleine en middelgrote bedrijven wereldwijd blootgelegd, met grote cryptocurrency-verliezen voor de slachtoffers tot gevolg. De campagne, die de naam SnatchCrypto heeft gekregen, is gericht op verschillende bedrijven die zich bezighouden met cryptocurrencies en smart contracts, DeFi, Blockchain en bedrijven in de FinTech-industrie.
In de meest recente campagne van BlueNoroff hebben de aanvallers op subtiele wijze misbruik gemaakt van het vertrouwen van de werknemers die bij aangewezen bedrijven werken, door hen een volwaardige Windows-backdoor met spionagefunctionaliteit te sturen via e-mail. De inhoud van deze e-mails hebben meestal betrekking op contracten of andere bedrijfsgerelateerde informatie. Om uiteindelijk de crypto-portemonnee van het slachtoffer te legen, heeft de aanvaller uitgebreide en gevaarlijke middelen ontwikkeld: complexe infrastructuur, exploits en malware-implantaten.
Achtergrond BlueNoroff
BlueNoroff maakt deel uit van de grotere Lazarus-groep en maakt gebruik van hun gediversifieerde structuur en geraffineerde aanvalstechnologieën. De BlueNoroff APT-groep staat bekend om aanvallen op banken en servers die verbonden zijn met SWIFT, en heeft zich zelfs
beziggehouden met het opzetten van nepbedrijven voor de ontwikkeling van cryptocurrencysoftware. De misleidde klanten installeerden vervolgens legitiem ogende apps en ontvingen na verloop van tijd ‘backdoored’ updates.
Nu is deze "tak" van Lazarus overgestapt op het aanvallen van crypto-startups. Aangezien de meeste cryptobedrijven kleine of middelgrote startups zijn, kunnen ze niet veel geld investeren in hun interne beveiligingssysteem. De aanvaller ziet dit ook in en maakt hier misbruik van door middel van social engineering-schema’s.
Werkwijze
Om het vertrouwen van het slachtoffer te winnen, doet BlueNoroff zich voor als een bestaande venture capital-onderneming. Kaspersky-onderzoekers ontdekten meer dan 15 venture-bedrijven, waarvan de merknaam en de namen van werknemers werden misbruikt tijdens de SnatchCrypto-campagne. Kaspersky-experts geloven ook dat echte bedrijven niets te maken hebben met deze aanval of de e-mails. Er is niet voor niets door cybercriminelen gekozen voor crypto-startups, zij ontvangen namelijk vaak brieven of bestanden van onbekende bronnen. Een venturebedrijf kan hen bijvoorbeeld een contract of andere bedrijfsgerelateerde bestanden sturen. De APT-actor gebruikt dit als lokaas om slachtoffers de e-mailbijlage - een document met macro’s - te laten openen.
Een oplettende gebruiker kan zien dat er iets niet pluis is terwijl MS Word een standaard laad popup venster toont.
Als het document offline zou worden geopend, zou het bestand niets kwaadaardigs doen - waarschijnlijk zou het eruit zien als een kopie van een soort contract of een ander onschuldig document. Maar als de computer is verbonden met het internet op het moment dat het bestand wordt geopend, wordt een ander macro-enabled document gedownload naar het apparaat van het slachtoffer, waarna de malware wordt geïnstalleerd.
Zorgvuldig uitgestippelde strategie voor financiële diefstal
Deze APT-groep heeft verschillende methoden in hun infectiearsenaal en stelt de infectieketen samen afhankelijk van de situatie. Naast gewapende Word-documenten verspreidt de aanvaller ook malware vermomd als gezipte Windows-snelkoppelingsbestanden. Het stuurt algemene informatie van het slachtoffer naar de server van de aanvallers, waarna via PowerShell de volledige backdoor wordt geïnstalleerd. Hiermee zet BlueNoroff andere kwaadaardige tools in om het slachtoffer te monitoren: een keylogger en screenshotmaker.
Vervolgens volgen de aanvallers de slachtoffers gedurende weken of zelfs maanden: ze verzamelen toetsaanslagen en monitoren de dagelijkse verrichtingen van de gebruiker, terwijl ze een strategie voor financiële diefstal uitstippelen. Als ze een prominent doelwit hebben gevonden dat een populaire browserextensie gebruikt om cryptoportefeuilles te beheren (bijvoorbeeld de Metamask-extensie), vervangen ze het hoofdbestanddeel van de extensie door een kwaadaardige versie.
Volgens de onderzoekers ontvangen de aanvallers een melding bij het ontdekken van grote overschrijvingen. Wanneer de gecompromitteerde gebruiker probeert om geld over te maken naar een andere rekening, onderscheppen ze het transactieproces en voegen stukjes code toe aan het transactieproces. Deze code wordt uitgevoerd wanneer er door de gebruiker op de knop ‘goedkeuren’ wordt geklikt. Dat stukje code verandert vervolgens de transactiegegevens en maximaliseren het transactiebedrag, waardoor de rekening in één klap wordt leeggehaald.
De groep is momenteel actief en valt gebruikers aan, ongeacht uit welk land ze komen
Jornt van der Wiel, senior securityonderzoeker bij Kaspersky’s Global Research and Analysis Team (GReAT):
“Ondanks dat de tactieken, technieken en procedures van veel aanvallers continu verandert, gebruiken ze nog steeds vaak e-mail als primaire infectiemethode. Het is daarom ook van groot belang dat medewerkers van zowel grote als kleine bedrijven continu getraind worden in het herkennen van kwaadaardige e-mails. Dit geldt vooral voor cryptocurrencybedrijven, omdat zij een aantrekkelijk doelwit zijn voor zowel criminele groepen als staatsgerelateerde actoren.”
Voor de bescherming van organisaties raadt Kaspersky aan om personeel te voorzien van een basistraining cybersecurity, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken. Daarnaast moet er een cybersecurity-audit van de netwerken worden uitgevoerd om eventuele zwakke plekken, die in de perimeter of binnen het netwerk zijn ontdekt, te verhelpen. Ook helpt het natuurlijk als er anti-APT- en EDR-oplossingen geïnstalleerd worden, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, onderzoeken kunnen worden uitgevoerd en incidenten tijdig kunnen worden verholpen. Samen met goede endpointbescherming kunnen speciale services helpen tegen high-profile aanvallen.
Lees het volledige rapport over BlueNoroff op
Securelist.
Over Kaspersky
Kaspersky, opgericht in 1977, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op
www.kaspersky.nl.