Jabatan ancaman siber Google Cloud telah menemui bahawa penyerang siber yang disokong oleh kerajaan Korea Utara sedang menyerang bursa mata wang kripto dan syarikat fintech di Brazil.
Laporan ancaman Google pada 13 Jun menyoroti percubaan bersekutu untuk mengambil alih, memeras dan menipu individu dan organisasi Brazil.
Sementara kumpulan Korea Utara memberi tumpuan utama kepada syarikat mata wang kripto, pertahanan dan entiti kerajaan, penjenayah siber yang disokong oleh kerajaan China lebih suka menyerang hanya organisasi kerajaan dan sektor tenaga di Brazil.
Plot di sebalik serangan siber di Brazil
Kumpulan penjenayah siber Korea Utara yang terkenal, Pukchong (juga dikenali sebagai UNC4899), telah menyerang warga dan organisasi Brazil melalui pasaran kerja. Mereka memperdaya pencari kerja yang tidak curiga untuk memuat turun perisian berbahaya ke dalam sistem mereka. Menurut laporan:
"Projek itu adalah aplikasi Python yang telah diubah suai untuk mengambil harga mata wang kripto yang dimodifikasi untuk menghubungi domain yang dikawal oleh penyerang untuk mengambil muatan peringkat kedua jika syarat-syarat tertentu dipenuhi."
Serangan perisian berbahaya yang serupa yang dilakukan oleh GoPix dan URSA juga ditemui menyerang syarikat kripto Brazil.
Lihat panduan Cointelegraph untuk mengetahui lebih lanjut tentang perisian berbahaya mata wang kripto dan cara mengesaninya.
Berkaitan: SEC mengenakan denda $10J kepada syarikat induk NYSE kerana gagal melaporkan serangan siber
Serangan melepasi sempadan
Baru-baru ini, pembekal dompet kripto Trust Wallet meminta pengguna Apple untuk mematikan iMessage, dengan merujuk kepada "intel yang boleh dipercayai" mengenai eksploit zero-day yang boleh membolehkan penceroboh mengawal telefon pengguna.
Eksploit zero-day adalah vektor serangan siber yang memanfaatkan kelemahan keselamatan yang tidak diketahui atau tidak diselesaikan dalam perisian komputer, perkakasan atau firmware.
Syarikat keselamatan siber Kaspersky baru-baru ini menemui bahawa kumpulan penjenayah siber Korea Utara, Kimsuky, dilaporkan menggunakan varian perisian berbahaya baru yang menarik bernama "Durian" untuk melancarkan serangan ke atas syarikat kripto Korea Selatan.
"Durian mempunyai fungsi pintu belakang yang komprehensif, membolehkan pelaksanaan arahan yang disampaikan, muatan peringkat kedua yang dimuat turun tambahan, dan pengeluaran fail," tulis Kaspersky.
Selain itu, Kaspersky mencatatkan bahawa LazyLoad juga digunakan oleh Andariel, sub-kumpulan dalam konsortium penjenayah siber Korea Utara yang lebih terkenal, Lazarus Group — menunjukkan hubungan "lemah" antara Kimsuky dan kumpulan penjenayah siber yang lebih terkenal tersebut.
Majalah: Kelemahan kegemaran Lazarus Group terdedah — Analisis serangan kripto