Nordkorea-allierad hotaktör utför riktade IT-attacker mot kryptovalutaföretag med global hackningskampanj

Nordkorea-allierad hotaktör utför riktade IT-attacker mot kryptovalutaföretag med global hackningskampanj

 Stockholm, 25 augusti 2020- IT-säkerhetsföretaget F-Secure publicerar idag en rapport som avslöjar att en IT-attack mot ett kryptovalutaföretag har kopplingar till Lazarus-gruppen - en mycket skicklig, ekonomiskt motiverad hotaktör, vars intressen rapporteras ligga i linje med Nordkoreas. Genom att sammanföra bevis som erhållits från attacken med befintlig forskning, drar rapporten slutsatsen att attacken var en del av en Lazarus-offensiv riktad mot organisationer inom kryptovalutaindustrin i USA, Storbritannien, Nederländerna, Tyskland, Singapore, Japan och flera andra länder.

Den taktiska underrättelserapporten erbjuder en analys av prover, loggar och andra tekniska artefakter som F-Secure kunde återvinna under en incidentundersökning hos en organisation som arbetar med kryptovaluta. Enligt rapporten var de skadliga koderna som användes i attacken nästintill identiska med de som tidigare rapporteras har använts av Lazarus Group - även kända som APT38.

Rapporten identifierar den taktik, samt de tekniker och processer (TTP:er) som användes under attacken, såsom t ex spearphishing via en tjänst (i detta fall genom att använda LinkedIn för att skicka ett falskt jobberbjudande anpassat till mottagarens profil). Enligt Matt Lawrence, F-Secures Director of Detection and Response, utgör undersökningen en solid grund för rapportens angripbara säkerhetsråd.

”Vår undersökning, som inkluderade insikter från våra team inom incidentrespons, detektion och respons, samt inom taktiskt försvar, fann att denna attack bär flera likheter med tidigare kända Lazarus-aktiviteter, så vi är övertygade om att de låg bakom attacken”, säger Lawrence. ”Bevisen antyder även att detta är en del av en pågående offensiv som riktar sig mot organisationer i över ett dussin länder, vilket gör det viktigt att uppmärksamma. Företag kan använda rapporten som ett sätt att bekanta sig med denna incident, de TTP:er sin finns och Lazarus-gruppen generellt för att skydda sig mot framtida attacker”.

Baserat på phishing-artefakter som har återfunnits från Lazarus-gruppens attack har F-Secures forskare kunnat länka incidenten till en bredare, fortgående offensiv som har pågått ända sedan januari 2018 eller längre. Enligt rapporten har liknande artefakter använts i kampanjer i minst 14 länder: USA, Kina, Storbritannien, Kanada, Tyskland, Ryssland, Sydkorea, Argentina, Singapore, Hong Kong, Nederländerna, Estland, Japan och Filippinerna.

Lazarus-gruppen gjorde betydande ansträngningar för att undvika mål-organisationens försvar under attacken, som t ex att inaktivera de aktuella värdarnas antivirusprogramvara, samt avlägsna bevis från deras skadliga koder. Även om rapporten beskriver attacken som sofistikerad, så belyser den också att Lazarus-gruppens ansträngningar att dölja sin närvaro inte var tillräckliga för att förhindra F-Secures utredning från att hitta bevis för deras aktiviteter.

 

Rapporten, Lazarus Group Campaign Targeting the Cryptocurrency Vertical, innehåller mer information för försvarsaktörer, inklusive indikatorer på intrång, en lista över de TTPer som användes i attacken, samt ytterligare råd för att upptäcka Lazarus Group-aktivitet. Rapporten finns nu tillgänglig på F-Secure Labs.

 

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | linkedin.com/f-secure

Presskontakt

Sanna Syrjäläinen

PR Manager, Nordics

+358 408349277
sanna.syrjalainen@f-secure.com

Press list

Beställ media information från F-Secure

Vi behandlar de personuppgifter som du delar med oss ​​i enlighet med vår integritetspolicy för företag.

Press arkiv

Per år

Bekanta dig med våra nyheter per år 

Per kategori

Bekanta dig med våra nyheter per kategori