Le FBI, le Trésor américain et la CISA mettent en garde contre les pirates nord-coréens ciblant les entreprises de la blockchain

La Cybersecurity Infrastructure Security Agency (CISA) des États-Unis, ainsi que le Federal Bureau of Investigation (FBI) et le département du Trésor, ont mis en garde contre une nouvelle série de cyberattaques en cours menées par le groupe Lazarus ciblant les sociétés de blockchain.

Appel du cluster d’activité CommerçantTraîtreles infiltrations impliquent l’acteur de la menace persistante avancée (APT) parrainé par l’État nord-coréen qui frappe des entités dans l’industrie Web3.0 depuis au moins 2020.

Les organisations ciblées comprennent les échanges de crypto-monnaie, les protocoles de finance décentralisée (DeFi), les jeux vidéo de crypto-monnaie play-to-earn, les sociétés de négoce de crypto-monnaie, les fonds de capital-risque investissant dans la crypto-monnaie et les détenteurs individuels de grandes quantités de crypto-monnaie ou de précieux jetons non fongibles (NFT) .

La cyber-sécurité

La chaîne d’attaque a commencé avec l’acteur de la menace qui a contacté les victimes via différentes plates-formes de communication pour les inciter à télécharger des applications de crypto-monnaie militarisées pour Windows et macOS, en tirant parti de l’accès privé pour propager le logiciel malveillant sur le réseau et mener des activités de suivi pour voler des clés et initier des transactions de blockchain voyous.

“Les intrusions commencent par un grand nombre de messages de harponnage envoyés aux employés des sociétés de crypto-monnaie”, indique l’avis. “Les messages imitent souvent un effort de recrutement et proposent des emplois bien rémunérés pour inciter les destinataires à télécharger des applications de crypto-monnaie contenant des logiciels malveillants.”

Des hackers nord-coréens ciblent la blockchain

C’est loin d’être la première fois que le groupe utilise des logiciels malveillants personnalisés pour voler de la crypto-monnaie. D’autres campagnes montées par le groupe Lazarus consistent en Opération AppleJeus, SnatchCryptoet, plus récemment, en utilisant applications de portefeuille DeFi trojanisées aux machines Windows de porte dérobée.

La menace TraderTraitor comprend un certain nombre de fausses applications cryptographiques basées sur des projets open source et prétendant être des logiciels de trading de crypto-monnaie ou de prédiction de prix, uniquement pour fournir le Manuscrypt cheval de Troie d’accès à distance, un malware précédemment lié aux campagnes de piratage du groupe contre les industries de la crypto-monnaie et des jeux mobiles.

La liste des applications malveillantes est ci-dessous –

  • DAFOM (dafom[.]dev)
  • TokenAIS (tokenais[.]com)
  • CryptAIS (cryptais[.]com)
  • AlticGO (alticgo[.]com)
  • Ésilet (Ésilet[.]com), et
  • Plate-forme CreAI (creaideck[.]com)
La cyber-sécurité

La divulgation intervient moins d’une semaine après que le département du Trésor attribué le vol de crypto-monnaie du réseau Ronin d’Axie Infinity au groupe Lazarus, sanctionnant l’adresse de portefeuille utilisée pour recevoir les fonds volés.

“Les cyber-acteurs parrainés par l’État nord-coréen utiliser une gamme complète de tactiques et de techniques pour exploiter les réseaux informatiques d’intérêt, acquérir une propriété intellectuelle sensible en crypto-monnaie et acquérir des actifs financiers “, ont déclaré les agences.

“Ces acteurs continueront probablement d’exploiter les vulnérabilités des entreprises de technologie de crypto-monnaie, des sociétés de jeux et des échanges pour générer et blanchir des fonds pour soutenir le régime nord-coréen.”

Leave a Comment