جددت BlueNoroff، وهي جزء من Lazarus Group التي ترعاها الدولة في كوريا الشمالية، استهدافها لشركات رأس المال الاستثماري والشركات الناشئة في مجال التشفير والبنوك. أفاد مختبر Kaspersky للأمن السيبراني أن المجموعة أظهرت ارتفاعًا في النشاط بعد فترة هدوء طيلة معظم العام وتختبر طرقًا جديدة لإيصال برامجها الضارة.
أنشأت BlueNoroff أكثر من 70 نطاقًا مزيفًا تحاكي شركات وبنوك رأس المال الاستثماري. قدمت معظم المنتجات المقلدة نفسها على أنها شركات يابانية معروفة جيدًا، لكن بعضها افترض أيضًا هوية الشركات الأمريكية والفيتنامية.
وفقًا للتقرير، تقوم المجموعة بتجربة أنواع ملفات جديدة وطرق أخرى لإيصال البرامج الضارة. بمجرد أن يتم وضعه، يقوم البرنامج الضار الخاص به بإلغاء تحذيرات أمان Windows Mark of the Web حول تنزيل المحتوى ثم ينتقل إلى “اعتراض عمليات النقل الكبيرة، وتغيير عنوان المستلم، ودفع مبلغ التحويل إلى الحد الأقصى، مما يؤدي بشكل أساسي إلى استنزاف الحساب في معاملة واحدة.”
وفقًا لـ Kaspersky، تتفاقم مشكلة الجهات الفاعلة في التهديد. وقال الباحث Seongsu Park، في بيان، “سيشهد العام المقبل انتشار الأوبئة الإلكترونية بأكبر قدر من التأثير، ولم تشهد شدتها من قبل. على عتبة الحملات الخبيثة الجديدة، تحتاج الشركات إلى أن تكون أكثر أمانًا من أي وقت مضى. “
تم التعرف على مجموعة BlueNoroff الفرعية من Lazarus بعد أن هاجمت بنك بنغلاديش المركزي في عام 2016. كانت من بين مجموعة من التهديدات الإلكترونية لكوريا الشمالية وكالة الأمن السيبراني الأمريكية وأمن البنية التحتية الأمريكية ومكتب التحقيقات الفيدرالي (FBI) المذكورة في تنبيه صدر في أبريل.
تم رصد الجهات الفاعلة في التهديد الكوري الشمالي المرتبطة بمجموعة Lazarus Group وهي تحاول سرقة الرموز غير القابلة للاستبدال في الأسابيع الأخيرة أيضًا. كانت المجموعة مسؤولة عن استغلال جسر رونين بقيمة 600 مليون دولار في مارس.