Noord-Koreaanse Lazarus Group gebruikt nep NFT-spel om cryptocurrency te stelen via Chrome-bug
In februari 2024 lanceerde het Noord-Koreaanse staatshackerscollectief Lazarus Group een uitgebreide aanval op cryptocurrency gebruikers wereldwijd. Vanaf dat moment heeft de groep een combinatie van social engineering, AI-gegenereerde content en een nog niet eerder ontdekte kwetsbaarheid in de Google Chrome browser gebruikt om de systemen van slachtoffers te infiltreren en portemonneegegevens te stelen.
Een nepspelsite, misleiding via sociale media en AI-gegenereerde inhoud
Centraal in deze aanval stond detankzone.com, een nep NFT-gebaseerd multiplayer online tankspel ontworpen om cryptocurrency gebruikers te lokken. Het spel leek functioneel, maar Kaspersky Labs onthulde dat het was gebouwd met behulp van gestolen broncode van een bestaand blockchainspel, DeFiTankLand.
De methode van de Lazarus Group draaide evenveel om technologische uitbuiting als om misleiding. De hackers deden veel moeite om het spel te promoten via sociale mediaplatforms zoals LinkedIn en X, waarbij ze AI-gegenereerde inhoud en afbeeldingen gebruikten om de authenticiteit van de site te vergroten. Invloedrijke figuren in de cryptocurrency ruimte werden misleid om het spel te promoten, waardoor het bereik nog groter werd.
Onderzoekers van Kaspersky merkten op: “De aanvallers richtten zich op het opbouwen van vertrouwen door een gepolijst, schijnbaar legitiem product te creëren en AI-tools te gebruiken om de geloofwaardigheid te vergroten.”
Profiteren van een Chrome Zero-Day kwetsbaarheid
De technische ruggengraat van de campagne bestond uit het uitbuiten van een zero-day kwetsbaarheid in Chrome, CVE-2024-4947, waardoor de aanvallers willekeurige code konden uitvoeren binnen de V8 JavaScript-engine van Chrome. De kwetsbaarheid, ontdekt door Kaspersky en gemeld aan Google in mei 2024, stelde Lazarus in staat om de sandboxbeveiliging van de browser te omzeilen en volledige toegang te krijgen tot de systemen van de slachtoffers. Google heeft de kwetsbaarheid inmiddels gepatcht.
Naast deze zero-day bug konden de hackers door een tweede, niet ontdekte fout in Chrome volledig ontsnappen aan de sandbox van de browser en een reeks schadelijke payloads implementeren, waaronder de Manuscrypt backdoor. Eenmaal in het systeem verzamelde de malware gevoelige informatie, waaronder portemonneegegevens, voordat werd besloten om verdere aanvallen uit te voeren.
North Korea's Lazarus Group exploits a zero-day #vulnerability (CVE-2024-4947) in Google Chrome to target the #cryptocurrency sector.
Exploitation strategy involved social media manipulation and fake game promotions.
Learn more: https://t.co/4VDv06JYIZ#hacking #cybersecurity
— The Hacker News (@TheHackersNews) October 24, 2024
Geavanceerde social engineering door Lazarus Group
Lazarus Group’s gebruik van social engineering in deze campagne onderscheidt het van veel andere aanvallen gericht op cryptocurrency. De hackers creëerden een web van nepaccounts op sociale mediaplatforms en gebruikten AI om geloofwaardige inhoud te genereren, waaronder professioneel uitziende LinkedIn-profielen. Dit gaf hun campagne de schijn van legitimiteit, waardoor het makkelijker werd om gebruikers aan te vallen en te compromitteren.
Volgens Boris Larin, chief security expert bij Kaspersky, “toonde Lazarus een buitengewone inspanning om een geloofwaardige aanwezigheid op te bouwen, door beïnvloeders in de cryptocurrency wereld te gebruiken om nietsvermoedende gebruikers te lokken. Hun social engineering tactieken, gekoppeld aan geavanceerde technische exploits, maken dit een van de gevaarlijkste campagnes die we dit jaar hebben gezien.”
De nasleep en geleerde lessen
Hoewel de kwaadaardige site inmiddels is verwijderd, is de schade al aangericht. Veel slachtoffers klikten onbewust op links die het spel promoten of installeerden de geïnfecteerde software, wat leidde tot aangetaste portemonnees en aanzienlijke financiële verliezen. De aanval benadrukt de toenemende geavanceerdheid van Noord-Koreaanse cybercampagnes gericht op cryptocurrencies.
Dit is niet de eerste keer dat de Lazarus Group in verband wordt gebracht met grote hacks in de cryptocurrency ruimte. De groep is verantwoordelijk voor enkele van de grootste heists, waaronder de Ronin Bridge exploit die meer dan 600 miljoen dollar opleverde. Deze aanvallen worden vermoedelijk gebruikt om de raketprogramma’s van Noord-Korea te financieren, terwijl het land nog steeds te maken heeft met economische sancties en financiële isolatie.
1/ How Lazarus Group laundered $200M from 25+ crypto hacks to fiat from 2020 – 2023https://t.co/s8zNFwlamb
— ZachXBT (@zachxbt) April 29, 2024
De dreiging van de Lazarus Group
De Lazarus Group staat al lang bekend om zijn innovatieve en meedogenloze aanpak van cybercriminaliteit. Nu ze hun tactieken blijven ontwikkelen en zero-day kwetsbaarheden, social engineering en AI-gegenereerde inhoud blijven combineren, neemt de dreiging voor cryptocurrency gebruikers en het bredere digitale ecosysteem toe.
Houders van cryptocurrencies moeten waakzaam blijven en best practices implementeren zoals het regelmatig updaten van software, het verifiëren van de authenticiteit van apps en websites en voorzichtigheid betrachten bij de interactie met ongevraagde promoties. Nu de Lazarus Group de grenzen van cybercriminaliteit verlegt, moet de cryptocurrency-industrie reageren met een even geavanceerde verdediging om deze geavanceerde aanvallen te beperken.