BlueNoroff’i häkkerid varastavad krüptot, kasutades selleks võltsitud MetaMaski laiendust

Põhja-Korea ohtlikku rühmitust BlueNoroff’i on märgatud pahatahtlike dokumentide ja võltsitud MetaMaski brauserilaiendite levitamises krüptoraha idufirmadele. Selle grupeeringu peamiseks motiiviks on rahateenimine, kuid grupi kompetentsuse tõttu oma eesmärkide saavutamisel on akadeemikud eelnevalt jõudnud järeldusele, et tegemist on Põhja-Korea Lazaruse jõugu haruga. Vaatamata sellele, et BlueNoroff on tegutsenud juba mitu aastat, jääb selle struktuur ja tegevus saladuseks.

Kaspersky raport püüab heita valgust nende tegevusele, kasutades viimase vaadeldud tegevuse käigus kogutud luureandmeid, mis ulatuvad tagasi 2021. aasta novembrisse.

Sihtmärgid

Krüptoraha idufirmad Ameerika Ühendriikides, Venemaal, Hiinas, Indias, Ühendkuningriigis, Ukrainas, Poolas ja Tšehhis, aga ka Araabia Ühendemiraatides, Singapuris, Eestis, Vietnamis, Maltal, Saksamaal ja Hongkongis on olnud viimaste rünnakute sihtmärgiks.

Viimase kampaania ohvrikaart
Allikas: Kaspersky

Pahatahtlike ründajate eesmärk on saada juurdepääs ettevõtete sisesuhtlusele ja kaardistada töötajate vahelisi suhtlusi, mida saaks kasutada sotsiaalseks manipuleerimiseks. Näiteks võivad nad tungida töötaja LinkedIn’i kontole ja seejärel jagada platvormil linki, mis sisaldab pahavara. Lisaks kasutab BlueNoroff ettevõtete sisesuhtlust, et nimetada dokumente õigete nimedega ja saata need sihtmärgiks olevale töötajale õigel ajal.

Viimastes BlueNoroffi kampaaniates kasutatud e-post
Allikas: Kaspersky

Oma kampaania jälgimiseks kaasavad nad kolmanda osapoole jälgimisteenuse (Sendgrid), et saada märguanne, kui ohver saadetud dokumendi avab.

BlueNoroffi jäljendatud ettevõtete nimed ja logod on näidatud allpool:

Logod ja ettevõtted, mida kasutatakse sotsiaalse manipuleerimise rünnakute jaoks
Allikas: Kaspersky

Nagu Kaspersky märgib, ei pruugi need ettevõtted olla ohtu sattunud ja Sendgrid ei pruugi teada, et Põhja-Korea APT-d neid kuritarvitavad.

Nakkusahelad

Esimene nakatumisahel koosneb dokumentidest, milles on VBS-i skriptid, mida saab kasutada kaugmalli sisestamise nõrkuse (CVE-2017-0199) ärakasutamiseks.

Esimene nakkusahel
Allikas: Kaspersky

Teine nakkusahel põhineb arhiivi saatmisel, mis sisaldab otseteefaili ja parooliga kaitstud dokumenti (Excel, Word või PDF).

Teine nakkusahel
Allikas: Kaspersky

LNK-fail, mis väidetavalt sisaldab dokumendi avamise parooli, käivitab skriptide seeria, mis hangib järgmise etapi jaoks vajaliku info.

Lõpuks paigutub nakatunud arvutisse tagauks järgmiste funktsioonidega:

• Failidega manipuleerimine
• Protsesside manipuleerimine
• Registri manipuleerimine
• Käskude manipuleerimine
• Konfiguratsiooni uuendamine
• Salvestatud andmete varastamine Chrome’ist, Puttyst ja WinSCP-st

Võlts MetaMask röövib inimestelt nende krüptovaluuta

BlueNoroff kogub krüptorahaga seotud konfiguratsioonifaile, varastades samal ajal ka kontoteavet, mida saab kasutada laiemalt võrku tungimiseks. Kui ründajad avastasid, et neil on märkimisväärne sihtmärk, hoidsid nad Kaspersky leidude kohaselt neil nädalaid või kuid tähelepanelikult silma peal. Finantsvarguse plaani koostades salvestati klaviatuurilööke ja jälgiti kasutaja igapäevaseid tegevusi.

Bitcoine ja muid krüptovaluutasid saab varastada, kui rahakotte haldavad brauserilaiendused asendada muudetud laiendustega, mis salvestatakse kasutaja arvutimällu.

Muudetud osa Metamaski programmil
Allikas: Kaspersky

Metamaski Chrome’i laienduse muutmine nõuab 170 000 koodirea hoolikat ülevaatamist, mis ütleb BlueNoroffi võimete ja pühendumise kohta palju. Ainus viis teada saada, kas laiendus on petturlik, on avada brauser arendajarežiimis ja vaadata laienduse lähtekoodi. 

Laiendus, mis näitab installiallikana kohalikku kausta
Allikas: Kaspersky

Ründajad võivad varastada raha sihtmärgi riistvaralisest rahakotist, muutes tehingute ootamise ajal saaja aadressi. Kuna neil on vaid üks võimalus, enne kui ohver häkkimisest aru saab, muudavad häkkerid ka tehingu summa võimalikult suureks, tühjendades kasutaja varadest vaid ühe liigutusega.

Omastamise märgid

Kaspersky ekspertide sõnul on viimastes ja varasemates operatsioonides kasutatud PowerShelli skriptidel ja tagaustel palju ühiseid omadusi.

Erinevate tagauste koodide sarnasused
Allikas: Kaspersky

Lisaks on C2-aadressi saamiseks kasutatav meetod sarnane 2016. aastal kasutatud meetodiga. See kasutab IP-aadressi leidmiseks XORingi abil kõvakoodiga DWORD-väärtust. Samuti on teise nakatumisahela osana Windowsi otsetee failide metaandmetes korea tähemärgid.

Pea meeles alati topelt üle kontrollida, mida sa alla laed ning hoia eemale kahtlastest veebilehtedest, linkidest ja dokumentidest!
Ja ei, Vitalik Buterin ei duubelda su krüptot! 😀