跳到主体内容

BlueNoroff是规模更大的Lazaru组织的一部分,并使用其复杂的恶意技术来攻击那些因其工作性质而处理智能合约、Defi、区块链和金融科技行业的组织。2022年1月,卡巴斯基专家已经报告了BlueNoroff在全球范围内对加密货币初创公司进行的一系列攻击,但之后攻击出现了停滞。但是,基于卡巴斯基的遥测数据,今年秋天,该威胁行为者重新开始攻击——而且现在它比以往任何时候都更加复杂和活跃。

假设你是一家大型金融机构销售部门的员工。你收到一封附有DOC文件的邮件——一份来自客户的合同。你想:“我们应该快点打开这个文件,并把它发给老板!”但是,就在你打开文件时,恶意软件立刻下载到你所使用的企业设备上。现在,攻击者将跟踪你的所有日常操作,并且计划实施盗窃攻击策略。一旦受感染公司的某个人试图转移大量加密货币,攻击者就会拦截交易,更改收件人的地址,并将货币数量更改到最大值,实质上是一次性耗尽账户。

卡巴斯基专家认为,攻击者目前正在积极试验和测试新的恶意软件交付方法:例如,使用以前未使用的文件类型(如新的Visual Basic脚本、未见过的Windows批处理文件和Windows可执行文件)来感染受害者。

更重要的是,除了使用高级网络罪犯中流行的策略外,他们还通过发明自己的策略来提高规避Windows安全措施的效率。最近,很多威胁行为者采用图像文件来避免网络标记(MOTW)。简而言之,MOTW标志是一种安全措施,当用户尝试查看从Internet下载的文件时,Windows会发出警告消息(如在“受保护的视图”中打开文件)。为了避免这种缓解威胁的措施,越来越多的威胁行为者开始利用ISO文件类型(用于分发软件或媒体内容的普通CD光盘的数字副本),BlueNoroff行为者也采用了这种技术。

被发现的用于交付恶意软件的ISO镜像文件包含一个PowerPoint幻灯片文件和一个Visual Basic脚本

该威胁行为者每天都在增加其攻击能力。例如,在2022年10月,卡巴斯基研究人员已经观察到70个假冒世界知名风险投资公司和银行的假域名。大多数域名假冒日本公司,如Beyond Next Ventures、瑞穗金融集团(Mizuho Financial Group)等。这表明该集团对日本金融实体有着广泛的兴趣。根据卡巴斯基遥测技术,该威胁行为者还以阿联酋组织为目标,并将自己伪装成美国和越南公司。

诱饵文档包含对流行的VC的描述

“根据我们最近的2023年APT预测,未来一年将出现影响最大的网络疫情,其强度是前所未有的。在技术优势和效果上,它们将与臭名昭著的WannaCry类似。我们在BlueNoroff实验中的发现证明,网络罪犯并没有停滞不前,而是在不断测试和分析新的、更复杂的攻击工具。在新的恶意活动爆发前夕,企业必须比以往任何时候都更加安全:培训您的员工了解网络安全的基础知识,并在所有企业设备上使用值得信赖的安全解决方案,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Seongsu Park评论说。

更多有关BlueNoroff的详情,请查看Securelist上的完整报告。

对于企业和组织保护,卡巴斯基给出以下建议:

·         为您的员工提供基础的网络安全卫生知识培训。进行模拟网络钓鱼攻击,确保您的员工知道如何识别网络钓鱼邮件。

·         对网络进行网络安全审计,并修复在外围或网络内部发现的任何薄弱之处。

·         选择一款经过验证的端点安全解决方案,例如卡巴斯基网络安全解决方案。这类解决方案具备基于行为的检测功能和异常控制能力,能够有效拦截已知和未知的威胁。

·         使用专门的网络安全解决方案以实现有效的端点保护、威胁检测和响应,及时检测和修补新的和规避性威胁。卡巴斯基优化框架包括一套基本的端点保护,并配有EDR和MDR。

 

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

 

BlueNoroff更新攻击手段:伪装成风险投资基金的APT行为者采用了新的恶意软件技术

卡巴斯基研究人员发现,臭名昭著的高级持续性威胁(APT)行为者BlueNoroff在其武器库中添加了新的复杂恶意软件。BlueNoroff被认为是针对全球金融实体加密货币的威胁行为者,特别是针对风险投资公司、加密货币初创公司和银行。现在,BlueNoroff正在尝试新的文件类型,以更有效地传播他们的恶意软件,并创建了70多个有关风险投资公司和银行的虚假域名,以引诱初创公司的员工进入陷阱
Kaspersky Logo