Microsoft confirmou que o grupo de hackers norte-coreano, BlueNoroff ou Lazarus Group, conhecido por seu roubo de criptomoedas por meio de engenharia social, mudou seu estratégia nas últimas semanas. De acordo com profissionais de segurança da Microsoft Threat Intelligence, o grupo vem desenvolvendo novos sites disfarçados de portais de avaliação de habilidades, indicando uma mudança nas técnicas do agente da ameaça.
Roubo de criptomoeda direcionado
Esses sites que apresentam avaliações de habilidades são supostamente protegidos por senha para bloquear o escrutínio e imitar serviços legítimos para atrair recrutamento de profissionais para abrir contas. A intenção, conforme descrito pela Microsoft, parece ser estabelecer uma base para hospedar cargas maliciosas, evitando a detecção e subsequentes tentativas de remoção que afetaram anteriormente operações realizadas em serviços legítimos como o GitHub.
BlueNoroff já ganhou as manchetes antes, tendo utilizado plataformas sociais como o LinkedIn para contato inicial com alvos potenciais. Eles transferem comunicações bem-sucedidas para outras plataformas, onde malware camuflado em documentos aparentemente inofensivos é implantado. O Jamf Threat Labs já havia vinculado o grupo ao malware ObjCShellz para macOS , gerando preocupações em todas as plataformas.
O ator de ameaça que a Microsoft rastreia já que Sapphire Sleet, conhecida por roubo de criptomoedas por meio de engenharia social, criou nas últimas semanas novos sites disfarçados de portais de avaliação de habilidades, marcando uma mudança nas táticas do ator persistente.
— Microsoft Threat Intelligence (@MsftSecIntel ) 8 de novembro de 2023
Global Cenário de ameaças
Com um histórico de ataques significativos, como o Axie Infinity’s Ronin network bridge hack onde eles desviaram mais de US$ 617 milhões em criptomoedas, as atividades da BlueNoroff continuam a chamar a atenção das agências internacionais de aplicação da lei. Eles também são responsabilizados por uma série de ataques contra startups de criptomoedas e organizações financeiras em vários países, incluindo, entre outros, Estados Unidos, Rússia, China, Índia e Reino Unido.
Em 2022, o Grupo Lazarus estava usando as atualizações do Windows como alvo. o grupo estava usando o Windows Update para distribuir malware por meio de um servidor de comando e controle (C2) do GitHub, alertam pesquisadores de segurança. De acordo à Malwarebytes Threat Intelligence, o Grupo Lazarus estava se mascarando como o rolo compressor aeroespacial americano Lockheed Martin.
Além das ameaças cibernéticas contínuas, o grupo tem sido ligado pela Kaspersky a um ataque sustentado a instituições em todo o mundo, provocando assim uma resposta do Tesouro dos EUA em 2019, que sancionou BlueNoroff ao lado de outros grupos norte-coreanos como Lazarus Group e Andariel. Estas sanções sublinham a ligação directa do grupo ao governo norte-coreano, canalizando activos financeiros roubados para programas do Estado.
A identificação destas novas técnicas pela Microsoft alinha-se com um padrão consistente de avanço nos métodos de ameaças cibernéticas, onde grupos como BlueNoroff evolui em resposta a medidas aprimoradas de segurança cibernética. As entidades, especialmente no espaço das criptomoedas, são aconselhadas a permanecer cautelosas com comunicações não solicitadas e a seguir as melhores práticas de segurança cibernética para se defenderem contra tais estratagemas sofisticados.
