북한 정부가 후원하는 Lazarus Group의 일부인 BlueNoroff는 벤처 캐피털 회사, 암호화 신생 기업 및 은행을 다시 공격 대상으로 삼았습니다. 사이버 보안 연구실 Kaspersky는 이 그룹이 1년 내내 잠잠했던 후 활동이 급증했으며 악성 코드에 대한 새로운 전달 방법을 테스트하고 있다고 보고했습니다.
BlueNoroff는 벤처 캐피털 회사와 은행을 모방한 70개 이상의 가짜 도메인을 만들었습니다. 대부분의 위조품은 잘 알려진 일본 회사로 위장했지만 일부는 미국 및 베트남 회사의 신원을 가정하기도 했습니다.
BlueNoroff, MoTW를 우회하는 새로운 방법 소개https://t.co/C6q0l1mWqo
— Pentesting 뉴스(@PentestingN) 2022년 12월 27일
보고서에 따르면 이 그룹은 새로운 파일 형식과 기타 맬웨어 전달 방법을 실험하고 있습니다. 악성 코드가 설치되면 콘텐츠 다운로드에 대한 Windows Mark-of-the-Web 보안 경고를 피한 다음 “대량의 암호 화폐 전송을 가로채 수신자의 주소를 변경하고 전송 금액을 한도까지 밀어내어 기본적으로 계정을 고갈시킵니다. 단일 거래.”
관련: 일본에서 수년간 암호화폐 해킹을 당한 북한의 나사로 – 경찰
Kaspersky에 따르면 위협 행위자의 문제가 악화되고 있습니다. 박성수 연구원은 성명에서 다음과 같이 말했다.
“내년은 가장 큰 영향을 미치는 사이버 전염병으로 표시될 것이며 그 강도는 이전에 본 적이 없습니다. […] 새로운 악성 캠페인의 문턱에서 기업은 그 어느 때보다 더 안전해야 합니다.”
Lazarus의 BlueNoroff 하위 그룹은 2016년 방글라데시 중앙 은행을 공격한 후 처음 확인되었습니다. 이는 미국 사이버 보안 및 인프라 보안국과 연방 수사국이 4월에 발표한 경고에서 언급한 북한의 사이버 위협 그룹 중 하나였습니다.
Lazarus Group과 관련된 북한의 위협 행위자들도 최근 몇 주 동안 대체할 수 없는 토큰을 훔치려 시도했습니다. 이 그룹은 지난 3월 6억 달러 규모의 Ronin Bridge 익스플로잇을 담당했습니다.
