A Lazarus csoport, egy észak-koreai hackerszervezet, amely korábban bűnözői tevékenységhez kötődött, egy új támadási rendszerhez kapcsolódott, amelynek célja a rendszerek feltörése és kriptovaluta harmadik felektől való ellopása. A kampány, amely egy már létező Applejeus nevű malware-termék módosított változatát használja, egy kriptooldalt, sőt dokumentumokat is használ a rendszerekhez való hozzáféréshez.
Módosított Lazarus Malware kriptográfiai webhelyet használt homlokzatként
A Volexity, a washingtoni székhelyű kiberbiztonsági cég összefüggésbe hozta a Lazarust, egy észak-koreai hackercsoportot, amelyet az Egyesült Államok kormánya már szankcionált, azzal a fenyegetéssel, hogy egy kriptowebhelyet használnak a rendszerek megfertőzésére, hogy harmadik felektől információkat és kriptovalutákat lopjanak el.
Blogbejegyzés kiadott december 1-jén kiderült, hogy a Lazarus júniusban regisztrált egy „bloxholder.com” nevű domaint, amely később automatikus kriptovaluta kereskedési szolgáltatásokat kínáló vállalkozásként jött létre. Ezt az oldalt homlokzatként használva a Lazarus arra kérte a felhasználókat, hogy töltsenek le egy alkalmazást, amely hasznos adatként szolgált az Applejeus rosszindulatú program továbbításához, amely magánkulcsok és egyéb adatok ellopására irányult a felhasználók rendszereiből.
Ugyanezt a stratégiát alkalmazta korábban Lázár is. Ez az új séma azonban olyan technikát használ, amely lehetővé teszi az alkalmazás számára, hogy „összezavarja és lelassítsa” a rosszindulatú programok észlelési feladatait.
Dokumentummakrók
A Volexity azt is megállapította, hogy októberben megváltozott a kártevő végső felhasználókhoz való eljuttatásának technikája. A módszer úgy alakult, hogy Office dokumentumokat, pontosabban egy makrókat tartalmazó táblázatot használnak, egyfajta, a dokumentumokba ágyazott programot, amely az Applejeus kártevőt telepíti a számítógépre.
Az „OKX Binance & Huobi VIP fee comparision.xls” névvel azonosított dokumentum azokat az előnyöket mutatja be, amelyeket ezeknek a tőzsdéknek az egyes VIP-programjai állítólag különböző szinten kínálnak. Az ilyen típusú támadások mérséklése érdekében javasolt a makrók végrehajtásának blokkolása a dokumentumokban, valamint az új feladatok OS-ben történő létrehozásának ellenőrzése és figyelése, hogy tudatában legyenek a háttérben futó új, azonosítatlan feladatoknak. A Veloxity azonban nem tájékoztatott arról, hogy ez a kampány milyen elérési szintet ért el.
Lázár hivatalosan is az volt vádolt az Egyesült Államok Igazságügyi Minisztériuma (DOJ) 2021. februárjában, egy észak-koreai hírszerző szervezethez, a Reconnaissance General Bureau-hoz (RGB) kapcsolódó csoport egy munkatársával. Ezt megelőzően, 2020 márciusában a DOJ vádolt két kínai állampolgárt, mert segítettek több mint 100 millió dollárnyi kriptovaluta tisztára mosásában, ami Lázár hőstetteihez köthető.
Mi a véleménye a Lazarus legújabb kriptovaluta-malware kampányáról? Mondja el nekünk az alábbi megjegyzések részben.
Image Credits: Shutterstock, Pixabay, Wiki Commons
A felelősség megtagadása: Ez a cikk csak tájékoztató jellegű. Ez nem közvetlen vétel vagy felkérés vételi vagy eladási ajánlatra, vagy bármely termék, szolgáltatás vagy vállalat ajánlása vagy jóváhagyása. Bitcoin.com nem nyújt befektetési, adóügyi, jogi vagy számviteli tanácsot. Sem a társaság, sem a szerző nem felel közvetlenül vagy közvetve a károkért vagy veszteségekért, amelyeket okozott vagy állítólagosan okozott a cikkben említett tartalmak, áruk vagy szolgáltatások használata, illetve az azokkal való függőség.
Forrás: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/