In het tweede kwartaal van 2022 zagen onderzoekers van Kaspersky dat Advanced Persistent Threat (APT)-actoren zich in toenemende mate op de cryptocurrency-industrie richtten. De groep NaiveCopy voert de aanvallen uit, waarbij zij crypto-gerelateerde content en waarschuwingen van wetshandhavers als lokaas inzetten.
Hoe NaiveCopy te werk gaat
Deze nieuwe, zeer actieve campagne is in maart dit jaar begonnen en gericht op aandelen- en cryptobeleggers. Dit is ongebruikelijk gezien de meeste APT-actoren geen financiële winst nastreven. De infectieketens bestonden uit sjablooninjectie op afstand, waarbij een kwaadaardige macro werd geactiveerd die een infectieprocedure in meerdere fasen start met behulp van Dropbox. Nadat de hostinformatie van het slachtoffer is gelokaliseerd, probeert de malware vervolgens de payload van de laatste fase op te halen.
Meerdere campagnes
Kaspersky-experts bemachtigden de laatste fase van de payload. Die bestaat uit verschillende modules die de criminelen gebruiken voor het exfiltreren van gevoelige informatie van het slachtoffer. Door deze payload te analyseren, vonden Kaspersky-onderzoekers aanvullende samples die een jaar geleden werden gebruikt tijdens een andere campagne.
Kaspersky-experts zien geen precieze connecties met bekende dreigingsactoren, maar ze denken dat ze bekend zijn met de Koreaanse taal en gebruik hebben gemaakt van een vergelijkbare tactiek die eerder door de Konni-groep is gebruikt om de inloggegevens voor een gerenommeerde Koreaanse portal te stelen. De Konni-groep is een bedreigingsactor die sinds medio 2021 actief is en zich vooral richt op Russische diplomatieke entiteiten.
David Emm, hoofd security-onderzoeker bij Kaspersky’s GReAT: “In de loop van verschillende kwartalen hebben we gezien dat APT-actoren hun aandacht richten op de crypto-industrie. Met behulp van verschillende technieken zijn de actoren niet alleen op zoek naar informatie, maar ook naar geld. Dit is een ongebruikelijke, maar toenemende, tendens in het APT-landschap. Om de bedreigingen te bestrijden, moeten organisaties zicht krijgen op het huidige cyberdreigingslandschap. Threat intelligence is een essentieel onderdeel dat het mogelijk maakt om betrouwbaar en tijdig te anticiperen op dergelijke aanvallen.”
Inzicht in dreigingen
Om te voorkomen dat je het slachtoffer wordt van een gerichte aanval door een bekende of onbekende dreigingsactor, is het aan te raden om een paar maatregelen te implementeren. Zo is het belangrijk om niet alleen essentiële endpointbescherming te implementeren, maar ook een bedrijfsgerichte security-oplossing te implementeren die geavanceerde bedreigingen op netwerkniveau in een vroeg stadium detecteert.
