Secondo un articolo pubblicato dalla testata Reuters, le Nazioni Unite avrebbero tenuto sotto controllo il Governo di Pyongyang durante la prima metà del 2019, facendo emergere in un report confidenziale almeno 35 attacchi informatici perpetrati ai danni di istituzioni finanziarie e piattaforme exchange di cryptovalute, in parallelo ad una campagna di spear phishing/malspam rivolta ad utenti della Sud Corea.
Scopo di questi attacchi sarebbe stato il raccogliere denaro per finanziare strumentazioni militari e programmi nucleari.
Si presume che l’ammontare del denaro ottenuto con gli attacchi sia di almeno 2 miliardi di dollari.
Sospetto threat actor
Considerati gli attacchi passati attribuiti alla Nord Corea e alle TTP (tecniche, tattiche e procedure) analizzate, sembrerebbe che alle spalle delle campagne perpetrate vi sia il gruppo APT “Bluenoroff“, una fazione del noto actor state-sponsored noto come “Lazarus Group” (alias “Labyrinth Chollima”, “Group 77”, “Unit 121”, “Hidden Cobra”).
Modus Operandi
Sono state registrate diverse TTP attribuibili al collettivo Bluenoroff, di cui:
- Intromissione in una intera infrastruttura di ATM, manomettendo la destinazione delle transazioni
- Manomissione della piattaforma sudcoreana di exchange cryptovalute Bithumb
- Campagna malspam veicolante malware di tipo RAT/miner
Coinvolgimenti
Dal rapporto UN risulterebbe che i paesi presi di mira dal collettivo Bluenoroff siano almeno 17, ma attualmente non esiste alcun elenco ufficiale.
Tuttavia, da un’analisi di campagne e operazioni degli ultimi mesi, si può presumere che tra i paesi presi di mira dal collettivo vi siano i seguenti (non si può confermare, tuttavia, che le attività siano correlate tra loro):
| PAESE | ATTIVITÀ | PERIODO |
|---|---|---|
| Africa | Backdoor installate su ATM appartenenti ad istituti di credito | Novembre 2018 |
| Asia | Backdoor installate su ATM appartenenti ad istituti di credito | Novembre 2018 |
| Sud Corea | Campagna spear phishing/malspam denominata “False Flag”/”Movie Coin”, veicolante allegati con payload malevolo, finalizzati al controllo remoto di computer per minare Monero | Giugno/luglio 2019 |
| Stati Uniti | Sfruttamento spyware “Hoplight” veicolato via email malspam | Aprile 2019 |
| America Latina | Backdoor installate su ATM appartenenti ad istituti di credito | 2018 (non meglio precisato) |
| Stati Uniti | Campagna che diffonde malware tunneling ELECTRICFISH | Fino ad inizio Maggio 2019 |
| Israele | Diffusione di email malspam contenenti allegati malevoli che sfruttano vulnerabilità WinRar (CVE-2018-20250) | Marzo 2019 |
| Stati Uniti e paesi anglofoni | Campagna “Sharpshooter” veicola malware denominato “Rising Sun” via email malspam | Ottobre/Novembre 2018 |
| Sud Corea | Campagna phishing veicolante allegato malevolo “Job Description.doc” | Gennaio 2019 |
Campagna “Movie Coin”: La Sud Corea nel mirino degli attacchi spear phishing e watering hole
Come accennato precedentemente, il collettivo Bluenoroff sarebbe responsabile di una campagna massiva nei confronti del Sud Corea, le quali email risulterebbero essere simili a questa:
I documenti HWP (estensione di un noto elaboratore di testi coreano in Hangul, alfabeto coreano ndr) risulterebbero avere date di ultima modifica che vanno dal 18 giugno fino al 12 luglio.
Esempi di documenti inviati:
I tre allegati, di estensione HWP, risultano essere dei payload che sfruttano vulnerabilità non meglio precisate, con il fine di prendere il controllo della postazione infetta e minare Monero per un ottenimento non rintracciabile di denaro.
IOC MD5
| 나의 참전수기 모음.hwp | 631F1C63FF87399E5E73C7D94D62532F |
| 미국의 대테러전쟁.hwp | 87E252E3DA6C02BF531A6CFB788F122A |
| 죽음에 대한 이해와 성찰.hwp | 2898A8BB7CC7639B7BD1080F9AD00E79 |
| (필수)외주직원 신상명세서.hwp | F79CC1AB1B4F0D18EBA0BD3899EDCF44 |
| 시스템 포팅 명세서.hwp | 881B27E55898F95D489BC0D6D4F47ED4 |
| a.avi | 1BAD6702B4A40E4E48BE86E7D0E8B17B |
| b.avi | 0856655351ACFFA1EE459EEEAF164756 |
| Last 1~5.hwp | 8D673685D8E99FD2B6A23A6651BCCB6B |
| Final(1-5).hwp | 421f90cde696889d53d03e1a300208df |
Risultano contattati i seguenti indirizzi utilizzati come C2:
https://technokain.com/ads/adshow1.dat
https://technokain.com/ads/adshow2.dat
https://www.weeklyexperts.com/wp-content/plugins/revslider/about.php
https://www.payngrab.com/wordpress/wp-content/plugins/megamenu/about.php
https://www.adhyatmikpunarjagran.org/wp-includes/Text/about.php
https://www.sparkdept.com/wp-content/uploads/themify/theme2.db.enc
https://www.sbaragliavareadores.es/images/a.avi(32bit)-movie32.dll/drukom
https://www.sbaragliavareadores.es/images/b.avi(64bit)-movie64.dll/drukom
https://locphuland.com/wp-content/themes/hikma/total.php
https://www.matthias-dlugi.de/wp-content/themes/twentyfifteen/helper.php
https://castorbyg.dk/wp-content/themes/302.phpLetture interessanti:
- 라자루스(Lazarus) APT 그룹, 신상명세서 문서로 위장한 공격 수행 (alyac.co.kr)
- 라자루스, 시스템 포팅 명세서 사칭한 APT작전 '무비 코인' 으로 재등장 (alyac.co.kr)
- (4) Kay Kyoung-ju Kwak su Twitter: "#Bluenoroff massively sent spear phishing email to cryptocurrency exchange users. https://t.co/M5XCBhjZMO" / Twitter
- North Korea debuts new Electricfish malware in Hidden Cobra campaigns | ZDNET
- MAR-10135536-21 – North Korean Tunneling Tool: ELECTRICFISH | CISA
- Lazarus Targets Latin American Financial Companies (trendmicro.com)
- North Korea took $2 billion in cyberattacks to fund weapons program: U.N. report | Reuters
- North Korean hackers stole US$2 billion to fund weaponry, UN report reveals | South China Morning Post (scmp.com)
- Confidential UN Report Says North Korea Stole $2 Billion from Crypto Exchanges - Toshi Times (archive.org)