Microsoft съобщава, че е идентифициран заплаха, насочена към стартиращи инвестиции в криптовалута. Партия, която Microsoft нарече DEV-0139, се представи като компания за инвестиране в криптовалута в Telegram и използва файл в Excel, въоръжен с „добре изработен“ злонамерен софтуер, за да зарази системи, до които след това получи отдалечен достъп.
Заплахата е част от тенденция в атаките, показващи високо ниво на сложност. В този случай заплахата, фалшиво идентифицираща се с фалшиви профили на служители на OKX, се присъедини към групите на Telegram, „използвани за улесняване на комуникацията между VIP клиенти и платформи за обмен на криптовалута“, Microsoft пише в публикация в блог от 6 декември. Microsoft обясни:
„Ние […] виждаме по-сложни атаки, при които заплахата показва големи познания и подготовка, като предприема стъпки, за да спечели доверието на целта си, преди да разположи полезни товари.“
През октомври целта беше поканена да се присъедини към нова група и след това поиска обратна връзка относно документ на Excel, който сравнява структурите на OKX, Binance и Huobi VIP такси. Документът предостави точна информация и висока осведоменост за реалността на крипто търговията, но също така невидимо зареди злонамерен .dll (Dynamic Link Library) файл, за да създаде задна врата в системата на потребителя. След това целта беше помолена сама да отвори .dll файла по време на дискусията относно таксите.
Скандалната Lazarus Group на КНДР разработи нови и подобрени версии на своя злонамерен софтуер AppleJeus за кражба на криптовалута, отбелязвайки последния опит на режима да събере средства за оръжейните програми на Ким Чен-ун. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Корейски председател на CSIS (@CSISKoreaChair) Декември 6, 2022
Самата техника на атака отдавна е известно. Microsoft предположи, че заплахата е същата като тази, открита при използване на .dll файлове за подобни цели през юни и това вероятно стои зад други инциденти. Според Microsoft DEV-0139 е същият актьор като фирмата за киберсигурност Volexity свързан към спонсорираната от държавата Lazarus Group на Северна Корея, използвайки вариант на зловреден софтуер, известен като AppleJeus и MSI (инсталатор на Microsoft). Федералната агенция за киберсигурност и сигурност на инфраструктурата на Съединените щати документирано AppleJeus през 2021 г. и Kaspersky Labs съобщи върху него през 2020 г.
Свързани: Севернокорейската група Lazarus, за която се твърди, че стои зад хакването на моста на Ронин
Министерството на финансите на САЩ се свърза официално Lazarus Group към програмата за ядрени оръжия на Северна Корея.
Източник: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick