Gli hacker statali della Corea del Nord sono stati scoperti a partecipare a truffe BEC

secondo quanto riferito, la corea del nord ha rubato-2b-in-wave-5d4d934316e22d00012a3ac5-1-ago-13-2019-12-43-01-poster.jpg

Caratteristica speciale

Cyberwar e il futuro della sicurezza informatica

Cyberwar e il futuro della sicurezza informatica

Le odierne minacce alla sicurezza si sono ampliate in portata e gravità. Ora ci possono essere milioni, o addirittura miliardi, di dollari a rischio quando la sicurezza delle informazioni non viene gestita correttamente.

Per saperne di più

Martedì, alla conferenza sulla sicurezza di ESET Virtual World, i ricercatori di sicurezza del produttore di antivirus slovacco ESET hanno rivelato una nuova operazione orchestrata dalle famigerate squadre di hacker sponsorizzate dallo stato del regime di Pyongyang.

Nome in codice “Operazione In(ter)cezione“, questa campagna ha preso di mira le vittime sia di cyber-spionaggio che di furto finanziario.

Parlando in live streaming a un pubblico di migliaia di persone, il ricercatore di sicurezza ESET Jean-Ian Boutin ha affermato che gli attacchi sono stati effettuati da membri del Lazarus Group, nome in codice dato dalle società di sicurezza alla più grande unità di hacking della Corea del Nord, parte dell’intelligence del paese. servizio.

Gli attacchi hanno preso di mira società aerospaziali e militari europee

Boutin ha descritto come i membri di Lazarus hanno utilizzato i profili dei reclutatori di lavoro di LinkedIn e i messaggi privati ​​per avvicinarsi ai loro obiettivi. Con il pretesto di condurre un colloquio di lavoro, alle vittime sono stati dati archivi per aprire e visualizzare i file archiviati all’interno che presumibilmente contenevano lo stipendio e altre informazioni sui loro lavori futuri.

Il ricercatore ESET afferma che questi archivi contenevano file infetti da malware che hanno permesso agli aggressori di ottenere un punto d’appoggio iniziale sul computer della vittima.

interception-scheme.png

Immagine: ESET

Boutin afferma che una volta che una vittima viene infettata, l’hacker Lazarus interrompe il processo di intervista, dice alla vittima che non ha ottenuto il lavoro e procede all’eliminazione del profilo LinkedIn subito dopo.

Ma sul computer del dipendente infetto, gli hacker continuerebbero a operare utilizzando il punto d’appoggio iniziale ed espandere il loro accesso all’interno della rete dell’azienda violata.

“Abbiamo scoperto che gli aggressori hanno interrogato il server AD (Active Directory) per ottenere l’elenco dei dipendenti, inclusi gli account amministratore, e successivamente hanno eseguito attacchi di forza bruta password sugli account amministratore”, ha affermato Boutin.

ESET ha affermato che, in base al malware specifico per “Operation In(ter)ception” rilevato, questi attacchi sembrano essersi verificati tra settembre e dicembre 2019.

Gli obiettivi di solito includevano dipendenti che lavorano presso aziende aerospaziali e militari europee, la maggior parte dei quali è stata contattata con offerte di lavoro false presso aziende concorrenti o di alto profilo.

Tentativi di truffa BEC

Ma Boutin ha affermato che una volta che gli hacker hanno raccolto tutte le informazioni ei file di dati proprietari di cui avevano bisogno da un’azienda hackerata, l’intrusione non si è fermata qui. Invece di cancellare le loro impronte, gli hacker sono passati al tentativo di truffare i partner commerciali dell’azienda infetta.

Boutin ha affermato che gli hacker di Lazarus hanno rovistato nelle caselle di posta elettronica delle aziende violate e hanno cercato fatture non pagate.

“Hanno seguito la conversazione e hanno esortato il cliente a pagare la fattura, tuttavia, su un conto bancario diverso da quello precedentemente concordato”, ha scritto il team ESET in un rapporto pubblicato oggi [PDF].

Il tentativo di frodare i clienti della vittima, noto anche come truffa di compromissione della posta elettronica aziendale (BEC), è stato sventato, ha affermato ESET, poiché i partner commerciali di solito hanno notato qualcosa di strano nelle e-mail di follow-up degli hacker.

Nel grande schema delle cose, questo non è sorprendente poiché gli hacker nordcoreani si sono ripetutamente impegnati in rapine informatiche negli ultimi tre anni, prendendo di mira sia le banche che gli scambi di criptovalute.

Nel settembre 2019, il Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni alle entità associate alle unità di hacking della Corea del Nord, sostenendo che il paese stava usando i suoi gruppi di hacker per rubare denaro e raccogliere fondi per le armi e i programmi missilistici di Pyongyang.

Inoltre, l’uso di LinkedIn per avvicinarsi agli obiettivi è stata una vecchia tattica impiegata dagli hacker nordcoreani. Nel gennaio 2019, gli stessi hacker di Lazarus hanno utilizzato i messaggi di LinkedIn per contattare i dipendenti che lavorano nel settore bancario e organizzare colloqui di lavoro tramite Skype, in cui alle vittime venivano forniti file contenenti malware. È così che i ricercatori della sicurezza ritengono che gli hacker nordcoreani abbiano violato Redbanc, la società che interconnette l’infrastruttura ATM di tutte le banche cilene.

L’APT più famoso e pericoloso del mondo… GUARDA LA GALLERIA COMPLETA

15 di 18 PROSSIMO PRECEDENTE

Sicurezza

  • Quando la tua VPN è una questione di vita o di morte, non fare affidamento sulle recensioni
  • Le bande di ransomware si lamentano del fatto che altri criminali stanno rubando i loro riscatti
  • Il CEO di Bandwidth conferma le interruzioni causate da attacchi DDoS
  • Questi sistemi affrontano miliardi di attacchi ogni mese mentre gli hacker cercano di indovinare le password
  • Come ottenere un lavoro ben pagato nella sicurezza informatica
  • Cybersecurity 101: proteggi la tua privacy da hacker, spie, governo

Leave a Reply