Noord-Koreaanse hackers richten zich op diefstal bitcoins

Werknemers van snelgroeiend cryptocurrencybedrijven in Londen zijn doelwit van de Lazarus Group. Deze Noord-Koreaanse hackersgroep probeert malware op systemen van werknemers van de bedrijven te installeren, met als doel bitcoins te stelen. De Lazarus Group is ondermeer bekend van de WannaCry ransomware en de $81 miljoen diefstal van de Bangladesh Bank.

Dit meldt SecureWorks. Het beveiligingsbedrijf heeft een spearphishing campagne opgezet door de Lazarus Group opgezet. Spearphishing is een vorm van phishing, waarbij aanvallers een malafide e-mail of website specifiek ontwikkelen voor en afstemmen op een bepaalde doelgroep. In de campagne ontdekt door SecureWorks wordt een vacature voor Chief Financial Officer (CFO) bij een in Londen gevestigd cryptocurrencybedrijf als lokmiddel gebruikt. In de e-mail wordt een Word-document meegestuurd dat een malafide macro bevat. Indien deze wordt geopend, wordt een Remote Access Trojan (RAT) geïnstalleerd op de achtergrond van de apparaten van het slachtoffer. Een RAT is een stukje software waarmee aanvallers op afstand systemen kunnen aansturen en monitoren. Zodra de RAT op de computer van het slachtoffer is geïnstalleerd, kunnen de bedreigingsactoren te allen tijde aanvullende malware downloaden.

Het werk van de Lazarus Group

In deze macro zijn elementen aangetroffen die ook zijn aangetroffen in macro's en de RAT gebruikt bij eerdere aanvallen die zijn toegeschreven aan de Lazarus Group. Daarnaast hebben de onderzoekers overeenkomende componenten ontdekt in het gebruikte custom C2 protocol. Op basis hiervan concludeert SecureWorks dat de spearphishing campagne vermoedelijk het werk is van de Lazarus Group.

Ook wijst SecureWorks op de interessse van Noord-Korea in de bitcoin, wat ondermeer blijkt uit de deelname aan bitcoin onderzoek van verschillende gebruikers die zijn gekoppeld aan een Noord-Koreaans IP-adres. De gebruikers hebben geprobeerd hun IP-adres af te schermen met behulp van proxy servers. Deze servers lieten het echter af en toe afweten, waardoor de onderzoekers van SecureWorks het werkelijke IP-adres van deze gebruikers toch in beeld kregen. Het gaat volgens het beveiligingsbedrijf om een Noord-Koreaans IP-adres dat eerder ook al werd ingezet voor cyberoperaties van het land.

Interesse van Noord-Korea in bitcoins blijft

SecureWorks verwacht dat de interesse van Noord-Korea in bitcoins hoog blijft, wat ondermeer te danken is aan de hoge waarde van de bitcoin. Het bedrijf wijst er ook op dat Noord-Korea in verband is gebracht met cyberinbraken bij Zuid-Koreaanse bitcoin exchanges.