Nordkoreanische Hacker verwenden gefälschte US -Unternehmen, um Crypto Devs zu hacken

Nordkoreanische Cyber-Mitarbeiter bildeten in den USA stillschweigend zwei Unternehmen mit begrenzter Haftung und setzten sie nach Angaben der US-amerikanischen Rechtsanträge und Forschungsarbeiten, die mit Reuters geteilt wurden, schädlichen Code in die Welt der Kryptowährung ein.

Silent Push, ein Cybersecurity-Unternehmen, sagt, dass Blocknovas LLC in New Mexico und Softglide LLC in New York mit erfundenen Namen und gemieteten Adressen gebaut wurden, damit die Hacker wie legitime Arbeitgeber aussehen konnten, während sie Malware an Bewerber schicken. Eine dritte Firma, Angeloper Agency,dentich bösartige Webfingerabdrücke, erschien aber in keinem US -amerikanischen Unternehmensregister.

“Dies ist ein seltenes Beispiel für nordkoreanische Hacker, die es tatsächlich gelingt, juristische Unternehmen in den USA zu gründen, um Unternehmensfronten zu schaffen, mit denen ahnungslose Bewerber angreifen”, sagte Reuters.

Das US -amerikanische Federal Bureau of Investigation würde die beiden Unternehmen nicht direkt erörtern. Am Donnerstag veröffentlichte das Büro jedoch eine Beschlagnahme auf der Website von Blocknovas, auf der die Domäne „im Rahmen einer Strafverfolgungsmaßnahme gegen nordkoreanische Cyber ​​-Akteure ergriffen worden sei, die diese Domain nutzten, um Personen mit gefälschten Stellenausschreibungen zu täuschen und Malware zu verteilen“.

Vor dem Takedown sagten hochrangige FBI -Beamte der Agentur, “Risiken und Konsequenzen aufzuerlegen, nicht nur den DVRK -Schauspielern selbst, sondern auch jedem, der ihre Fähigkeit erleichtert, diese Systeme durchzuführen.”

Ein Beamter nannte Nordkoreas Hacking -Einheiten “vielleicht eine der fortschrittlichsten dauerhaften Bedrohungen”, mit denen die Vereinigten Staaten heute ausgesetzt sind.

Laut Silent Push haben die Angreifer als Personalvermittler angegeben und Interviews angeboten, die die Ziele erforderten, böswillige Dateien zu öffnen.

Blocknovas und Softglide verwendeten Stellenanzeigen, um Malware zu Kryptoentwicklern zu schieben

Nach dem Start versuchten die Dateien, Kryptowährungs -Brieftaschenschlüssel, Passwörter und andere Kredentzu ernten, die später dazu beitragen könnten, in Börsen oder Technologieunternehmen einzudringen.

Der unveröffentlichte Bericht des Unternehmens bestätigt „mehrere Opfer“, die meisten von ihnen näherten sich durch Blocknovas, die die Forscher als „mit Abstand die aktivsten“ der drei Fronten bezeichnen.

Die staatlichen Aufzeichnungen zeigen, dass Blocknovas am 27. September 2023 in New Mexico registriert wurde. In seinem Papierkram wird eine Postanschrift in Warrenville, South Carolina, aufgeführt, die Google Maps als leeres Grundstück anzeigt.

Softglides Gründung in New York traczu einem kleinen Steuervorbereitungsbüro in Buffalo. Es gab keine tracder Personen, deren Namen beider Einreichungen erscheinen.

US -Beamte sagen, das Muster passt zu einem breiteren nordkoreanischen Vorstoß, um harte Währungen zu erhöhen. Experten in Washington, Seoul und der Vereinten Nationen haben Pjöngjang seit langem beschuldigt, Krypto gestohlen und Tausende von Informations-Technologie-Mitarbeitern im Ausland gesendet zu haben, um das Nuklear-Missible-Programm des Landes zu finanzieren.

Leitung eines Unternehmens, das von Nordkorea in den USA kontrolliert wird, bricht die vom Finanzministerium für ausländischen Vermögenskontrolle (OFAC) des Finanzministeriums auferlegten Sanktionen. Es verstößt gegen die Maßnahmen des UN -Sicherheitsrates, dass die kommerziellen Aktivitäten, die dem nordkoreanischen Staat oder Militär zugute kommen, verbucht.

Die Jobdateien mit Malware-Noten sind mit der Lazarus-Gruppe verknüpft

New Mexicos Staatssekretär sagte in einer E-Mail, dass Blocknovas über das Online-Inland-LLC-System mit einem registrierten Agenten eingereicht worden sei und die staatlichen Regeln entsprach. “Auf keinen Fall würde unser Büro seine Verbindung zu Nordkorea kennen”, schrieb ein Vertreter.

Die Ermittler verknüpfen die Aktivität mit einer Untergruppe der Lazarus-Gruppe, einem Elite-Hacking-Team, das das Aufklärungs-Generalbüro, Pjöngjangs Hauptarm der ausländischen Intelligenz, antwortet.

Silent Push Identwurde mindestens drei bisher bekannte Malware -Familien in den böswilligen Jobdateien. Die Tools können Daten von infizierten Maschinen ziehen, die Hintertüren für ein weiteres Eindringen öffnen und zusätzlichen Angriffscode herunterladen, ein Spielbuch, das häufig in früheren Lazarus -Aktivitäten zu sehen ist.

Im Moment befindet sich Blocknovas ‘Domain unter Bundesbeschlag, die Website von Softglide ist offline und die Seiten der Angeloper Agency gibt Fehler zurück. Die Ermittler warnen jedoch, dass neue Aliase schnell erscheinen können.

“Diese Operation zeigt die kontinuierlich entwickelnde Bedrohung durch DVRK -Cyber ​​-Akteure”, sagte das FBI in seiner Erklärung und forderte die Technologieprofis auf, unerwünschte Stellenangebote zu prüfen und verdächtige Auskünfte zu melden.

Quelle