Izraelská firma ClearSky uvedla, že útočná kampaň “CryptoCore” byla cílena na krypto burzy v Izraeli, Japonsku, Evropě a USA. Útočníkům se podařilo zcizit virtuální měny v hodnotě několika milionů dolarů. Zjištění vychází z poznatků, které v posledních několika měsících podrobně popsaly společnosti F-Secure, japonský CERT JPCERT/CC a NTT Security.
Experti se shodují, že modus operandi odpovídá skupině Hidden Cobra, která vystupuje taky pod jmény APT38 a Lazarus Group. Tato skupina působí na scéně od roku 2009 a do jejich portfolia spadá kybernetická špionáž, loupež kryptoměn a napadání objektů kritické infrastruktury. V posledních letech Hidden Cobra rozšířila své útoky na obranný a letecký průmysl. Výběr cíle velmi často odpovídá severokorejským ekonomickým a geopolitickým zájmům, které jsou motivovány především finančním ziskem. Tyto zisky používá Severní Korea pro obcházení mezinárodních sankcí.
CryptoCore, nazývaný také CryptoMimic, Dangerous Password, CageyChameleon a Leery Turtle se zaměřuje především na krádeže peněženek s kryptoměnami. Kampaň byla pravděpodobně zahájena v roce 2018. Taktika útočníků spočívá ve využití spear-phishingu jako cesty k získání účtu správce hesel oběti. Účet následně útočníci používají k odcizení klíčů k peněženkám a následném převodu měn do vlastních peněženek.
ClearSky v červnu 2020 publikovalo zprávu, která spojuje oběti CryptoCore kampaně z USA, Japonska a Blízkého východu. Skupině se do té doby údajně podařilo ukrást kryptoměny v hodnotě přibližně 200 mil. USD. Nový výzkum však naznačuje, že operace byly mnohem rozsáhlejší a vedeny z více útočných vektorů současně. Zprávy ze od čtyř různých nezávislých společností objevily společné indikátory kompromitace (IoC) na úrovni chování a kódu. ClearSky navíc porovnala malware nasazený během CryptoCore, který nese společné znaky jako malware používaný Hidden Cobrou během jiných útočných kampaní.
Novinkou je fakt, že útoky nově cílí i na společnosti v Izraeli.
0 Comments