BlueNoroff 组织是一个出于经济动机攻击者。12月27日,研究人员披露了该团伙绕过Windows网络标记(MotW)保护的新方法。当用户打开从网络上下载的文件时,Windows会显示一条警告消息。为此,攻击者使用了光盘镜像(.iso)和虚拟硬盘(.vhd)文件格式。另外还观察到一个新的 Visual Basic 脚本、Windows 批处理文件和一个 Windows 可执行文件。
近期安恒安全数据部猎影实验室捕获到一批疑似来自Lazarus组织的样本,这些样本目标指向风投、加密货币等前沿产业。一些诱饵文档标题伪装成受密码保护的各类相关文档,引导用户点击意为密码的恶意lnk文件,在点击后下载执行hta文件并部署后门。这些文件从攻击目标和手法上与Lazarus组织关联度较高,疑似来自Lazarus组织的BlueNorOff小组。
4月14日,FBI指控,朝鲜Lazarus组织和 APT38组织与大规模加密货币窃取活动有关。此次窃取事件发生在3月23日,热门链游区块链NFT游戏Axie Infinity的Ronin Network被窃取了 173,600 个以太坊和 2550 万美元的代币 (USDC),价值6.2 亿美元,是有史以来最大的加密货币窃取事件。
BlueNoroff组织是一个出于经济动机的威胁团伙,是朝鲜Lazarus APT组织的子组织。1月13日,研究人员披露了BlueNoroff发起的复杂网络钓鱼和社会工程攻击活动,此次活动的主要目标为加密货币初创公司。 简况BlueNoroff组织试图渗透到加密货币初创公司的通信中,目标是建立个人之间的互动图并了解员工可能感兴趣的主题,从而发起高质量的社会工程攻击。为了跟踪受害者的活动,BlueNoroff 冒充了以下公司: 第一个感染链使用具有 VBS 脚本的文档,该脚本利用旧的远程模板注入漏洞 (CVE-2017-0199),感染链如下图: