Kaspersky: Crypto-startups doelwit van APT actor BlueNoroff

Jornt van der Wiel

15-01-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

Kaspersky: Crypto-startups doelwit van APT actor BlueNoroff

Kaspersky-experts hebben een reeks aanvallen van advanced persistent threat (APT) actor BlueNoroff tegen kleine en middelgrote bedrijven wereldwijd blootgelegd, met grote cryptocurrency-verliezen voor de slachtoffers tot gevolg. De campagne, die de naam SnatchCrypto heeft gekregen, is gericht op verschillende bedrijven die zich bezighouden met cryptocurrencies en smart contracts, DeFi, Blockchain en bedrijven in de FinTech-industrie.

In de meest recente campagne van BlueNoroff maken de aanvallers op subtiele wijze misbruik van het vertrouwen van de werknemers die bij aangewezen bedrijven werken, door hen een volwaardige Windows-backdoor met spionagefunctionaliteit te sturen via e-mail. De inhoud van deze e-mails hebben meestal betrekking op contracten of andere bedrijfsgerelateerde informatie. Om uiteindelijk de crypto-portemonnee van het slachtoffer te legen, heeft de aanvaller uitgebreide en gevaarlijke middelen ontwikkeld: complexe infrastructuur, exploits en malware-implantaten.

Achtergrond BlueNoroff

BlueNoroff maakt deel uit van de grotere Lazarus-groep en maakt gebruik van hun gediversifieerde structuur en geraffineerde aanvalstechnologieën. De BlueNoroff APT-groep staat bekend om aanvallen op banken en servers die verbonden zijn met SWIFT. De groep heeft zich zelfs beziggehouden met het opzetten van nepbedrijven voor de ontwikkeling van cryptocurrencysoftware. De misleidde klanten installeerden vervolgens legitiem ogende apps en ontvingen na verloop van tijd ‘backdoored’ updates.

Nu is deze 'tak' van Lazarus overgestapt op het aanvallen van crypto-startups. Aangezien de meeste cryptobedrijven kleine of middelgrote startups zijn, kunnen ze niet veel geld investeren in hun interne beveiligingssysteem. De aanvaller ziet dit ook in en maakt hier misbruik van door middel van social engineering-schema’s.

Werkwijze

Om het vertrouwen van het slachtoffer te winnen, doet BlueNoroff zich voor als een bestaande venture capital-onderneming. Kaspersky-onderzoekers ontdekten meer dan 15 venture-bedrijven, waarvan de merknaam en de namen van werknemers werden misbruikt tijdens de SnatchCrypto-campagne. Kaspersky-experts geloven ook dat echte bedrijven niets te maken hebben met deze aanval of de e-mails. Er is niet voor niets door cybercriminelen gekozen voor crypto-startups, zij ontvangen namelijk vaak brieven of bestanden van onbekende bronnen. Een venturebedrijf kan hen bijvoorbeeld een contract of andere bedrijfsgerelateerde bestanden sturen. De APT-actor gebruikt dit als lokaas om slachtoffers de e-mailbijlage - een document met macro’s - te laten openen.

kaspersky-bluenoroff-2.png

Een oplettende gebruiker kan zien dat er iets niet pluis is terwijl MS Word een standaard laad popup venster toont

Als het document offline wordt geopend, doet het bestand niets kwaadaardigs - waarschijnlijk ziet het eruit zien als een kopie van een soort contract of een ander onschuldig document. Indien de computer echter is verbonden met het internet op het moment dat het bestand wordt geopend, wordt een ander macro-enabled document gedownload naar het apparaat van het slachtoffer, waarna de malware wordt geïnstalleerd.

Zorgvuldig uitgestippelde strategie voor financiële diefstal

Deze APT-groep heeft verschillende methoden in hun infectiearsenaal en stelt de infectieketen samen afhankelijk van de situatie. Naast gewapende Word-documenten verspreidt de aanvaller ook malware vermomd als gezipte Windows-snelkoppelingsbestanden. Het stuurt algemene informatie van het slachtoffer naar de server van de aanvallers, waarna via PowerShell de volledige backdoor wordt geïnstalleerd. Hiermee zet BlueNoroff andere kwaadaardige tools in om het slachtoffer te monitoren: een keylogger en screenshotmaker.

Vervolgens volgen de aanvallers de slachtoffers gedurende weken of zelfs maanden: ze verzamelen toetsaanslagen en monitoren de dagelijkse verrichtingen van de gebruiker. Tegelijkertijd stippelen ze een strategie voor financiële diefstal uit. Als de aanvallers een prominent doelwit hebben gevonden dat een populaire browserextensie gebruikt om cryptoportefeuilles te beheren (bijvoorbeeld de Metamask-extensie), vervangen ze het hoofdbestanddeel van de extensie door een kwaadaardige versie.

Volgens de onderzoekers ontvangen de aanvallers een melding bij het ontdekken van grote overschrijvingen. Wanneer de gecompromitteerde gebruiker probeert om geld over te maken naar een andere rekening, onderscheppen ze het transactieproces en voegen stukjes code toe aan het transactieproces. Deze code wordt uitgevoerd wanneer er door de gebruiker op de knop ‘goedkeuren’ wordt geklikt. Dat stukje code verandert vervolgens de transactiegegevens en maximaliseren het transactiebedrag, waardoor de rekening in één klap wordt leeggehaald.

kaspersky-bluenoroff.png
De groep is momenteel actief en valt gebruikers aan, ongeacht uit welk land ze komen

Jornt van der Wiel (foto), senior securityonderzoeker bij Kaspersky’s Global Research and Analysis Team (GReAT): “Ondanks dat de tactieken, technieken en procedures van veel aanvallers continu verandert, gebruiken ze nog steeds vaak e-mail als primaire infectiemethode. Het is daarom ook van groot belang dat medewerkers van zowel grote als kleine bedrijven continu getraind worden in het herkennen van kwaadaardige e-mails. Dit geldt vooral voor cryptocurrencybedrijven, omdat zij een aantrekkelijk doelwit zijn voor zowel criminele groepen als staatsgerelateerde actoren.”

Voor de bescherming van organisaties raadt Kaspersky aan om personeel te voorzien van een basistraining cybersecurity, aangezien veel gerichte aanvallen beginnen met phishing of andere social engineering-technieken. Daarnaast moet er een cybersecurity-audit van de netwerken worden uitgevoerd om eventuele zwakke plekken, die in de perimeter of binnen het netwerk zijn ontdekt, te verhelpen. Ook helpt het natuurlijk als er anti-APT- en EDR-oplossingen geïnstalleerd worden, zodat bedreigingen opgespoord en gedetecteerd kunnen worden, onderzoeken kunnen worden uitgevoerd en incidenten tijdig kunnen worden verholpen. Samen met goede endpointbescherming kunnen speciale services helpen tegen high-profile aanvallen.

Lees het volledige rapport over BlueNoroff op Securelist.

Terug naar nieuws overzicht
Security