Eine Einheit der vom nordkoreanischen Staat gesponserten Hackergruppe Lazarus gibt sich als Finanz- und Investmentunternehmen aus, um Krypto-Assets zu stehlen.
Laut der Sicherheitsfirma Kaspersky erstellt die als BlueNorOff bekannte Gruppe gefälschte Domains, die denen von legitimen Risikokapitalfirmen und Banken ähneln.
“ Der Akteur nutzte in der Regel gefälschte Domains wie Cloud-Hosting-Dienste, um bösartige Dokumente oder Payloads zu hosten. “
Die Unternehmen, die die Hacker nachahmen, sind größtenteils in Japan ansässig, darunter Beyond Next Ventures, ANOBAKA, Angel Bridge, ABF Capital, Sumitomo Mitsui Banking Corporation, Mitsubishi UFJ Financial Group und Z Venture, was auf das Interesse von BlueNorOff an japanischen Finanzeinheiten hindeutet.
“ Die meisten Unternehmen sind japanische Unternehmen, was darauf hindeutet, dass der Akteur großes Interesse an den japanischen Märkten hat. “
Das Cybersicherheitsunternehmen berichtet, dass es sich bei einem der Opfer von BlueNorOff offenbar um ein Immobilienfinanzierungsunternehmen mit Sitz in den Vereinigten Arabischen Emiraten (VAE) handelt. Kaspersky berichtet, dass die Infektion durch eine Malware mit einem japanischen Dateinamen erfolgte, was darauf hindeutet, dass das Ziel Japanisch lesen kann.
“ Auf der Grundlage von Dokumenten zu Domainnamen und Lockvögeln nehmen wir mit geringem Vertrauen an, dass Entitäten in Japan auf dem Radar dieser Gruppe sind. In einem PowerPoint-Muster haben wir beobachtet, dass der Akteur von einer japanischen Risikokapitalgesellschaft profitiert hat“.