BlueNoroff Utilizza ClickFix, PowerShell Senza File e Incontri Zoom Falsi Generati dall’AI per Prendere di Mira il Settore Web3
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
BlueNoroff, un sottogruppo a scopo finanziario del Lazarus Group legato alla DPRK, ha condotto un’intrusione mirata contro un’azienda nordamericana di Web3 e criptovalute. Gli aggressori hanno combinato tecniche ClickFix, esecuzione PowerShell senza file e inviti a meeting Zoom falsi generati dall’AI per assicurarsi l’accesso iniziale ed espandere la loro portata all’interno dell’ambiente. L’operazione evidenzia un maturo mix di ingegneria sociale e tattiche di living-off-the-land progettate per supportare il furto di criptovalute.
Indagine
Gli analisti di Arctic Wolf hanno rilevato l’intrusione dopo aver identificato un’attività PowerShell insolita e link a meeting Zoom malevoli arricchiti con contenuti generati dall’AI. Ulteriori prove hanno indicato metodi di consegna ClickFix e esecuzione senza file, indicando un chiaro tentativo di eludere le difese antivirus convenzionali. L’attribuzione a BlueNoroff si basava sugli strumenti osservati, comportamento operativo e modelli di tradecraft a lungo associati all’attività del Lazarus Group.
Mitigazione
Le organizzazioni dovrebbero richiedere l’autenticazione multifattore per Zoom e altre piattaforme di conferenza, limitare il remoting PowerShell non necessario e monitorare da vicino i binari sospetti relativi a ClickFix. Anche i controlli di sicurezza delle email dovrebbero essere rafforzati per intercettare esche di phishing generate dall’AI, mentre gli utenti dovrebbero essere addestrati a verificare gli inviti a riunioni inattesi prima di interagire con essi.
Risposta
Se viene rilevata questa attività , isolare immediatamente gli endpoint interessati, acquisire la memoria volatile e condurre un’analisi forense dei log PowerShell e di qualsiasi artefatto relativo a ClickFix. Le credenziali compromesse dovrebbero essere revocate, i segreti sensibili ruotati e le procedure di risposta agli incidenti per potenziale furto di criptovalute attivate. Gli indicatori rilevanti dovrebbero anche essere condivisi con gli ISAC del settore, e le rilevazioni dovrebbero essere aggiornate per riflettere le ultime scoperte.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per essere avvisato
AvvisamiRilevamenti
Scaricare o Caricare tramite Powershell (via cmdline)
Visualizza
Stringhe Powershell Sospette (via cmdline)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Uso Sospetto di Invoke-RestMethod (via powershell)
Visualizza
Stringhe Powershell Sospette (via powershell)
Visualizza
Chiamata di Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
Chiamata di Funzioni API di Windows Sospette da Powershell (via powershell)
Visualizza
Possibili Indicatori di Offuscamento di Powershell (via powershell)
Visualizza
Binari/Scripts Sospetti in Posizione di Autostart (via file_event)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)
Visualizza