抢夺加密货币：BlueNoroff威胁行为者盗用加密货币初创公司的账户

在BlueNoroff最近的攻击行动中，攻击者一直在巧妙地滥用在被攻击公司工作的员工的信任，以 “合同”或其他商业文件为幌子，向他们发送一个具有监视功能的全功能Windows后门。为了最终清空受害者的加密货币钱包，威胁行为者还开发了广泛而危险的资源：包括复杂的基础设施、漏洞利用程序和恶意软件植入物。

BlueNoroff是更大的Lazarus组织的一部分，并使用其多样化的结构和复杂的攻击技术进行攻击。Lazarus 高级可持续威胁（APT）组织以攻击银行和连接SWIFT的服务器而闻名，该组织甚至参与创建了开发加密货币软件的假公司。受骗的客户随后安装了看起来合法的应用程序，并在一段时间后收到了后门更新。

现在，Lazarus的分支组织已经转向攻击加密货币初创企业。由于大多数加密货币公司都是小型或中型初创公司，他们无法向内部安全系统投入大量资金。攻击行为者了解这一点，并通过使用精心设计的社交工程方案来利用它。

为了获取受害者的信任，BlueNoroff会假装成一个现有的风险投资公司。卡巴斯基研究人员发现了超过15家风险投资企业，这些企业的品牌名称和员工姓名在SnatchCrypto活动期间被滥用。卡巴斯基专家还认为，这些真正的公司与此类攻击或电子邮件无关。网络罪犯选择加密货币初创公司是有原因的：初创公司经常收到来自不熟悉来源的邮件或文件。例如，风险投资公司可能会向他们发送合同或其他与业务相关的文件。APT行为者使用这些作为诱饵，让受害者打开电子邮件中的附件——一个启用宏的文档。

细心的用户可能会发现，在MS Word显示一个标准的加载弹出窗口时，某些可疑的事正在发生。

如果离线打开这些文档，这些文件不会表现出任何危险的性质，最有可能的是，这些文件就会看起来像某种合同的副本或其他无害文档的副本。但是如果在打开文件时计算机连接着互联网，则会将另一个启用宏的文档提取到受害者的设备中，从而部署恶意软件。

该APT组织的感染武器库中由多种方法，并根据情况组装感染链。除了武器化的Word文档之外，该威胁行为者还传播伪装成压缩 Windows 快捷文件的恶意软件。它发送受害者的一般信息和Powershell代理，然后创建一个功能齐全的后门。使用这种方式，BlueNoroff部署其他恶意工具来监控受害者，这些工具包括键盘记录器和屏幕截图工具。

之后，攻击者对受害者进行数周和数月的跟踪：他们会收集用户的键盘输入数据，监控用户的日常操作，同时策划金融盗窃活动。当找到一个使用流行的浏览器扩展（例如，Metamask扩展）来管理加密钱包的目标后，他们用一个假的版本替换扩展的主要组件。

根据研究人员的调查，攻击者在发现大额转账后会收到一个通知。当被感染的用户在试图将资金转入其他账户时，攻击者会拦截交易过程，并注入自己的逻辑。要完成发起的付款，用户然后单击“批准”按钮。此时此刻，网络罪犯正在更改收件人的地址并最大化交易金额，基本上一次就会将受害者的账户洗劫一空。

该组织目前处于活动状态，无论用户来自哪个国家，都会进行攻击

“由于攻击者不断想出许多新的方法来进行欺骗和滥用，即使是小企业也应该对其员工进行基本的网络安全实践教育。如果公司从事加密货币钱包业务，那这一点尤其重要：使用加密货币服务和扩展没有错，但要注意，对于APT和网络罪犯来说，加密货币钱包也是一个有吸引力的目标。因此，这一领域需要得到很好的保护，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Seongsu Park评论说。

要阅读有关BlueNoroff的完整报告，请访问Securelist.

为了帮助组织和企业更好地保护自身，卡巴斯基给出了以下建议：

·         除非你对Metamask代码库非常熟悉，否则很难手动找到对扩展的注入。但是，对Chrome扩展程序的修改会留下痕迹。浏览器必须切换到开发人员模式，并且 Metamask 扩展是从本地目录而不是在线商店安装的。如果插件来自应用商店，Chrome 会对代码强制执行数字签名验证，并保证代码的完整性。因此，如果您有任何疑问，请立即检查您的Metamask扩展程序和Chrome设置。

·          安装反APT和EDR解决方案，开启威胁发现和检测、调查以及及时的事件修复功能。为您的SOC团队提供对最新威胁情报的访问，并定期对他们进行专业培训，提高他们的技能。上述所有服务均可通过卡巴斯基专家安全框架获取。

·         为您的员工提供基础的网络安全卫生培训，因为许多有针对性的攻击是从网络钓鱼或其他社会工程技术开始的。

·        对网络进行网络安全审计，并修复在外围或网络内部发现的任何薄弱之处。

·        除了部署适当的端点保护之外，专用服务还有助于抵御高调的攻击。卡巴斯基管理检测和响应服务可以在攻击实现攻击目标之前，帮助在攻击的早期阶段识别和阻止攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.