GoogleクラウドとMandiantによる最近のサイバーセキュリティ研究により、金銭的動機を持つ北朝鮮の脅威アクターであるUNC1069による、極めて高度で洗練されたキャンペーンが明かされました。
悪名高いBluenoroofクラスターと重複する同グループは、攻撃的に暗号資産およびWeb3の専門家をターゲットにしています。
高度なソーシャルエンジニアリング、架空のベンチャーキャピタル企業、および複雑なマルウェアを活用することで、UNC1069は北朝鮮体制の戦略的軍事およびスパイ活動に資金を提供するためにデジタル資産の盗難を目指しています。
攻撃チェーンを開始するために、脅威アクターは「WallEye Capital」、「Web3BitCapital」、「SolidBit Capital」など、完全に架空のベンチャーキャピタル企業を作成します。
研究者によると、攻撃者はTelegramやLinkedInなどのアウトオブバンドチャネルを使用して、暗号資産の専門家との信頼関係を構築し、多くの場合、侵害されたアカウントを活用して信頼性を高めます。
信頼が確立されると、被害者はCalendlyなどのツールを介してスケジューリングリンクを送信されます。これらのリンクは、Google Meet、Zoom、Microsoft Teamsなどの正当なプラットフォームを模倣した、攻撃者が制御するインフラストラクチャでホストされている不正なミーティング環境にユーザーをリダイレクトします。
UNC1069は、Windows、macOS、およびLinuxシステムに感染するように設計されたカスタマイズされたマルウェアの多様な武器庫を開発しました。
ClickFixペイロードが実行されると、初期スクリプトはダウンローダーとして機能し、コマンドアンドコントロール(C2)サーバーからセカンダリ遠隔アクセストロージャン(RAT)を取得します。
研究者は、従来の検出を回避するために地域コードとソフトウェア名を利用するインフラストラクチャの大規模なネットワークを発見しました。
既知のハッシュを単にブロックするのではなく、セキュリティ専門家は、悪意のあるサーバーを事前に識別するために脅威アクターのドメイン命名規則を追跡することを推奨しています。
これらの脅威を軽減するために、サイバーセキュリティ専門家は組織に以下を勧めます:
翻訳元: https://cyberpress.org/unc1069-targets-crypto-pros/