Kampanye SnatchCrypto menanam pintu belakang di startup crypto, DeFi, jaringan blockchain
Security

Kampanye SnatchCrypto menanam pintu belakang di startup crypto, DeFi, jaringan blockchain

Kampanye baru yang berfokus pada pengosongan dompet cryptocurrency organisasi di ruang keuangan dan crypto telah diungkapkan oleh para peneliti.

Dijuluki SnatchCrypto, peneliti Kaspersky mengatakan pada hari Kamis bahwa kampanye tersebut adalah karya BlueNoroff, kelompok ancaman persisten tingkat lanjut (APT) yang dicurigai terhubung dengan Lazarus APT yang lebih besar.

Lazarus adalah unit peretasan Korea Utara yang terkait dengan serangan siber terhadap bank dan layanan keuangan. APT mengkhususkan diri dalam intrusi berbasis SWIFT di negara-negara termasuk Vietnam, Bangladesh, Taiwan. Bersamaan dengan Cobalt dan FIN7, Blueliv baru-baru ini mencap grup tersebut sebagai salah satu ancaman utama yang dihadapi oleh perusahaan FinTech saat ini.

“Grup [BlueNoroff] tampaknya bekerja lebih seperti unit dalam formasi penyerang Lazarus yang lebih besar, dengan kemampuan untuk memanfaatkan sumber dayanya yang luas: baik itu implan malware, eksploitasi, atau infrastruktur,” kata para peneliti.

Menurut Kaspersky, BlueNoroff telah melakukan serangkaian serangan terhadap perusahaan kecil dan menengah yang terkait dengan cryptocurrency, aset virtual, blockchain, kontrak pintar, keuangan terdesentralisasi (DeFI), dan FinTech secara umum.

BlueNoroff berfokus pada membangun – dan menyalahgunakan – kepercayaan untuk menyusup ke jaringan perusahaan. Apakah ini komunikasi bisnis dan obrolan atau teknik rekayasa sosial yang lebih luas, APT menghabiskan banyak waktu dan upaya untuk mempelajari para korbannya.

Pada November 2021, Kaspersky mengatakan bahwa grup tersebut telah “menguntit dan mempelajari” startup cryptocurrency. BlueNoroff bertujuan untuk membuat ‘peta’ topik yang diminati saat ini di organisasi target dan kemudian menggunakan informasi ini sebagai batu loncatan untuk meluncurkan serangan rekayasa sosial yang tampaknya sah dan dapat dipercaya.

“BlueNoroff mengkompromikan perusahaan melalui identifikasi yang tepat dari orang-orang yang diperlukan dan topik yang mereka diskusikan pada waktu tertentu,” catat para peneliti. “Sebuah dokumen yang dikirim dari satu kolega ke kolega lain tentang suatu topik, yang saat ini sedang dibahas, tidak mungkin memicu kecurigaan.”

Misalnya, email mungkin dikirim yang berpura-pura menjadi dokumen bersama yang dihosting di Google Drive dari ‘rekan’ ke karyawan perusahaan rintisan. Dalam sampel yang diperoleh Kaspersky, pemberitahuan dikirim pada saat dokumen jebakan dibuka.

Dalam contoh lain, email didorong sebagai penerusan yang tampaknya telah dikirim oleh rekan kerja – berpotensi meningkatkan kepercayaan karena pesan tampak seolah-olah telah diperiksa.

APT juga meniru perusahaan yang sah dalam email phishing, termasuk Coinsquad, Emurgo, Youbi Capital, dan Sinovation Ventures.

CVE-2017-0199, cacat eksekusi kode jarak jauh (RCE), digunakan untuk memicu skrip jarak jauh yang ditautkan ke dokumen berbahaya. Eksploitasi akan mengambil muatan dari URL yang disematkan dalam file-file ini, dan template jarak jauh juga ditarik. Ketika digabungkan, objek biner yang disandikan base64 dan makro VBA menjadi tersedia, kemudian digunakan untuk menelurkan proses eskalasi hak istimewa sebelum muatan utama dieksekusi pada sistem target.

“Menariknya, BlueNoroff menunjukkan peningkatan opsec pada tahap ini,” kata Kaspersky. “Makro VBA melakukan pembersihan dengan menghapus objek biner dan referensi ke templat jarak jauh dari dokumen asli dan menyimpannya ke file yang sama. Ini pada dasarnya menghilangkan senjata dokumen meninggalkan penyelidik menggaruk-garuk kepala selama analisis.”

Rantai infeksi lain yang diamati termasuk penggunaan file pintasan Windows yang di-zip atau dokumen Word berbahaya yang digunakan untuk mengambil muatan tahap kedua.

Pada titik ini, agen PowerShell digunakan untuk menyebarkan pintu belakang. Malware dapat terhubung dari jarak jauh ke server command-and-control (C2) operatornya, memanipulasi proses dan registri, menjalankan perintah, dan mencuri data yang disimpan oleh browser Chrome, Putty, dan WinSCP. Selain itu, pintu belakang sekunder, keylogger, dan pengambil tangkapan layar juga dapat diluncurkan pada mesin.

Payload terakhir adalah backdoor khusus yang hanya terlihat dalam serangan yang dilakukan oleh BlueNoroff. Malware ini akan mengumpulkan data sistem dan konfigurasi yang terkait dengan perangkat lunak cryptocurrency dan akan mencoba untuk menyela antara transaksi yang berasal dari dompet perangkat keras.

Catatan khusus adalah ketika korban menggunakan ekstensi browser untuk mengelola crypto mereka, ekstensi Metamask, misalnya, akan dirusak untuk memantau transaksi dan memungkinkan penyerang memilih saat yang tepat untuk menyerang.

Para peneliti menjelaskan bagaimana serangan ini terjadi:

“Ketika pengguna yang dikompromikan mentransfer dana ke akun lain, transaksi ditandatangani di dompet perangkat keras. Namun, mengingat bahwa tindakan itu dimulai oleh pengguna pada saat yang tepat, pengguna tidak curiga ada sesuatu yang mencurigakan sedang terjadi dan mengonfirmasi transaksi pada perangkat aman tanpa memperhatikan detail transaksi.

Pengguna tidak terlalu khawatir ketika jumlah pembayaran yang dimasukkannya rendah dan kesalahannya terasa tidak signifikan. Namun, penyerang tidak hanya mengubah alamat penerima, tetapi juga mendorong jumlah mata uang hingga batasnya, yang pada dasarnya menguras akun dalam satu gerakan.”

Korban telah ditelusuri ke Rusia, Polandia, AS, Hong Kong, Singapura, Cina, dan negara-negara lain.

Liputan sebelumnya dan terkait


Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0


Posted By : togel hari ini hongkong