Microsoft raportează că a fost identificat un actor de amenințare care vizează startup-urile de investiții în criptomonede. O parte pe care Microsoft a numit-o DEV-0139 s-a prezentat drept o companie de investiții în criptomonede pe Telegram și a folosit un fișier Excel echipat cu malware „bine creat” pentru a infecta sistemele pe care apoi le-a accesat de la distanță.
Amenințarea face parte dintr-o tendință de atacuri care arată un nivel ridicat de sofisticare. În acest caz, actorul amenințărilor, identificându-se în mod fals cu profiluri false ale angajaților OKX, s-a alăturat grupurilor Telegram „folosite pentru a facilita comunicarea între clienții VIP și platformele de schimb de criptomonede”, Microsoft. scris într-o postare pe blog din 6 decembrie. Microsoft a explicat:
„Observam […] atacuri mai complexe în care actorul amenințării dă dovadă de cunoștințe și pregătire deosebită, luând măsuri pentru a câștiga încrederea țintei înainte de a implementa încărcături utile.”
În octombrie, ținta a fost invitată să se alăture unui nou grup și apoi a cerut feedback cu privire la un document Excel care compara structurile de taxe VIP OKX, Binance și Huobi. Documentul a furnizat informații precise și o conștientizare ridicată a realității tranzacționării cu criptomonede, dar a încărcat în mod invizibil un fișier .dll (Dynamic Link Library) rău intenționat pentru a crea o ușă în spate în sistemul utilizatorului. Ținta a fost apoi rugată să deschidă ea însăși fișierul .dll în timpul discuției despre taxe.
Infamul Lazarus Group din RPDC a dezvoltat versiuni noi și îmbunătățite ale programului său malware AppleJeus, care fură criptomonede, marcând cea mai recentă încercare a regimului de a strânge fonduri pentru programele de arme ale lui Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Președintele CSIS Coreea (@CSISKoreaChair) December 6, 2022
Tehnica atacului în sine este cunoscut de mult. Microsoft a sugerat că actorul amenințării a fost același cu cel găsit folosind fișiere .dll în scopuri similare în iunie și care a fost probabil și în spatele altor incidente. Potrivit Microsoft, DEV-0139 este același actor ca firma de securitate cibernetică Volexity legate de către grupul Lazarus din Coreea de Nord, sponsorizat de stat, folosind o variantă de malware cunoscută sub numele de AppleJeus și un MSI (instalator Microsoft). Agenția federală de securitate cibernetică și de securitate a infrastructurii din Statele Unite documentat AppleJeus în 2021 și Kaspersky Labs raportate pe el în 2020.
Related: Grupul nord-coreean Lazarus ar fi în spatele hack-ului podului Ronin
Departamentul Trezoreriei SUA s-a conectat oficial Lazarus Group la programul de arme nucleare al Coreei de Nord.
Sursa: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick