Nordkoreanske hackere intensiverer sine angrep mot kryptoselskaper med en ny type skadevare som kan infisere Apple-enheter.
Angrepene, som benytter falske PDF-filer, retter seg mot ansatte i bransjen og følger en lengre historie med nordkoreansk interesse for kryptovaluta. Dette melder flere medier, deriblant The Hacker News.
Nord-Korea har lenge vært involvert i kryptorelaterte angrep, og dette siste initiativet er bare én del av et større bilde.
Hackere tilknyttet den nordkoreanske gruppen BlueNoroff har nå lansert en ny kampanje kalt «Hidden Risk», som distribuerer skadevare på Apple-enheter via falske e-poster med påståtte nyheter om kryptotrender.
SentinelOne, selskapet som avdekket kampanjen, kobler disse aktivitetene til tidligere kjente malware-familier som RustBucket og KANDYKORN.
– Angrepet bruker e-poster med falske nyhetsoppslag for å lokke ansatte til å åpne en falsk PDF-fil, forklarer SentinelOne-forskerne Raffaele Sabato, Phil Stokes og Tom Hegel i en rapport.
Tidligere angrep på kryptoindustrien
Dette er ikke første gang Nord-Korea viser interesse for kryptovaluta. I et kjent tilfelle fra 2022 angrep nordkoreanske hackere fra gruppen Lazarus det populære Vietnam-basert kryptospillet Axie Infinity, et spill inspirert av Pokémon hvor spillere kan tjene digitale verdier.
Disse stjålne midlene ble blant annet brukt til å finansiere Nord-Koreas atomvåpenprogram.
Dette angrepet resulterte i et omfattende tyveri av digitale verdier og har satt både et mer omfattende sikkerhetspolitisk og geopolitisk søkelys på hvordan kryptovaluta brukes av statlige aktører.
Les også: Belarusisk hacker arrestert i politioperasjon: Solgte data på darkweb
Ifølge eksperter blir kryptovaluta ofte brukt av Nord-Korea for å omgå økonomiske sanksjoner og finansiere ulike statlige prosjekter, noe som gjør bransjen spesielt utsatt for cyberangrep.
Sosial manipulering i sentrum
Ifølge en advarsel fra FBI i september 2024, er denne typen angrep svært tilpasset og vanskelig å oppdage. Nordkoreanerne benytter såkalt sosial manipulering, ofte gjennom falske jobbtilbud eller investeringsmuligheter, for å etablere tillit over tid før skadevaren installeres.
SentinelOne rapporterte også at de observerte et forsøk på phishing (kalt ‘Nettfiske’) mot et kryptoselskap i oktober 2024, der skadevaren ble levert som en «app» kamuflert som en PDF-fil med tittelen «Hidden Risk Behind New Surge of Bitcoin Price».
Ny teknikk omgår Apple-varsler
Skadevaren bruker en avansert metode for å oppnå vedvarende tilgang på offerets maskin ved å endre en konfigurasjonsfil kalt «zshenv». Forskerne peker på at denne teknikken omgår sikkerhetsvarsler som vanligvis utløses av Apples system for bakgrunnsprosesser.
– Apple har introdusert varsler for å advare brukere om uønskede vedvarende prosesser, men denne metoden utløser ikke slike varsler, sier SentinelOne.
Bruker legitime sertifikater
Et annet bekymringsfullt aspekt ved kampanjen er at hackerne har klart å få tilgang til gyldige Apple-utviklerkontoer, noe som gjør det mulig for dem å sertifisere skadevaren. Dette gir et falskt inntrykk av legitimitet og kan føre til større skade.
– Nordkoreanske aktører viser en bemerkelsesverdig kreativitet og evne til å tilpasse seg, og vi ser stadig nye metoder som utvikles i deres cyberprogram, uttaler forskeren Stokes.
Med denne utviklingen fortsetter Nord-Korea sin målrettede satsning mot kryptoindustrien, der sofistikerte teknikker og sosial manipulering brukes for å nå landets økonomiske og strategiske mål.
Japans politi ber om 6 milliarder yen for å bekjempe kyberangrep