جددت BlueNoroff، وهي جزء من Lazarus Group التي ترعاها الدولة في كوريا الشمالية، استهدافها لشركات رأس المال الاستثماري وشركات الكريبتو الناشئة والبنوك. أفاد مختبر الأمن السيبراني Kaspersky أن المجموعة أظهرت ارتفاعًا في النشاط بعد فترة هدوء طيلة معظم العام وتختبر طرقًا جديدة لتوصيل البرامج الضارة الخاصة بها.
أنشأت BlueNoroff أكثر من 70 نطاقًا مزيفًا تحاكي شركات وبنوك رأس المال الاستثماري. قدمت معظم المنتجات المقلدة نفسها على أنها شركات يابانية معروفة جيدًا، لكن بعضها افترض أيضًا هوية الشركات الأمريكية والفيتنامية.
وفقًا للتقرير، تقوم المجموعة بتجربة أنواع ملفات جديدة وطرق أخرى لإيصال البرامج الضارة. بمجرد وضعها، تتجنب البرامج الضارة الخاصة بها تحذيرات أمان Windows Mark of the Web بشأن تنزيل المحتوى ثم تنتقل إلى “اعتراض عمليات نقل العملات الرقمية الكبيرة، وتغيير عنوان المستلم، ودفع مبلغ التحويل إلى الحد الأقصى، مما يؤدي بشكل أساسي إلى استنزاف الحساب في معاملة واحدة “.
وفقًا لـ Kaspersky، تتفاقم مشكلة الجهات الفاعلة في التهديد. قال الباحث Seongsu Park في بيان: “سيشهد العام المقبل انتشار الأوبئة السيبرانية بأكبر تأثير، ولم تشهد قوتها من قبل. على عتبة الحملات الخبيثة الجديدة، يجب أن تكون الشركات أكثر أمانًا من أي وقت مضى. ”
تم تحديد مجموعة BlueNoroff الفرعية من Lazarus لأول مرة بعد أن هاجمت البنك المركزي البنغلاديشي في عام 2016. كانت من بين مجموعة من التهديدات الإلكترونية لكوريا الشمالية وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية ومكتب التحقيقات الفيدرالي المذكورة في تنبيه صدر في أبريل.
تم رصد الجهات الفاعلة في التهديد الكوري الشمالي المرتبطة بمجموعة Lazarus Group وهي تحاول سرقة الرموز غير القابلة للاستبدال في الأسابيع الأخيرة أيضًا. كانت المجموعة مسؤولة عن استغلال جسر رونين بقيمة 600 مليون دولار في مارس.