A Microsoft biztonsági részlege a sajtóközlemény tegnap, december 6-án egy kriptovaluta induló vállalkozásokat célzó támadást fedeztek fel. A Telegram chaten keresztül nyertek bizalmat, és elküldtek egy Excelt „OKX Binance és Huobi VIP díjösszehasonlítás.xls” címmel, amely olyan rosszindulatú kódot tartalmazott, amely távolról hozzáférhetett az áldozat rendszeréhez.
A biztonsági fenyegetésekkel foglalkozó hírszerző csapat DEV-0139 néven követte nyomon a fenyegetés szereplőjét. A hacker képes volt beszivárogni a Telegram, az üzenetküldő alkalmazás csevegőcsoportjaiba, egy kriptobefektetési társaság képviselőjének álcázva magát, és úgy tett, mintha a kereskedési díjakról tárgyalna a nagy tőzsdék VIP-ügyfeleivel.
A cél az volt, hogy rávegyék a kriptobefektetési alapokat egy Excel-fájl letöltésére. Ez a fájl pontos információkat tartalmaz a nagyobb kriptovaluta tőzsdék díjstruktúrájáról. Másrészt van egy rosszindulatú makrója, amely egy másik Excel-lapot futtat a háttérben. Ezzel ez a rossz színész távoli hozzáférést kap az áldozat fertőzött rendszeréhez.
microsoft kifejtette: „Az Excel-fájl fő lapját jelszósárkány védi, hogy ösztönözze a célt a makrók engedélyezésére.” Hozzátették: „A munkalap védtelenné válik a Base64-ben tárolt másik Excel-fájl telepítése és futtatása után. Ezt valószínűleg arra használják, hogy becsapják a felhasználót, hogy engedélyezze a makrókat, és ne keltsen gyanút."
A jelentések szerint augusztusban a cryptocurrency A bányászati kártevők kampánya több mint 111,000 XNUMX felhasználót fertőzött meg.
A fenyegetési hírszerzés összekapcsolja a DEV-0139-et az észak-koreai Lazarus fenyegető csoporttal.
A rosszindulatú makró Excel-fájl mellett a DEV-0139 egy hasznos terhet is szállított ennek a trükknek a részeként. Ez egy MSI-csomag egy CryptoDashboardV2 alkalmazáshoz, amely ugyanazt az akadályt fizeti ki. Emiatt több hírszerzés is arra utalt, hogy más támadások mögött is ők állnak, amelyek ugyanazt a technikát alkalmazzák az egyéni hasznos terhek tolására.
A DEV-0139 közelmúltbeli felfedezése előtt más hasonló adathalász támadások is történtek, amelyekről egyes fenyegetésekkel foglalkozó hírszerző csoportok szerint a DEV-0139 működése lehet.
A Volexity fenyegetésekkel foglalkozó hírszerző cég szintén a hétvégén tette közzé megállapításait a támadásról, összefüggésbe hozva azt a Észak-koreai Lázár fenyegetett csoport.
Volexity szerint az észak-koreai hackerek használjon hasonló rosszindulatú kriptocsere-díj-összehasonlító táblázatokat az AppleJeus kártevő eldobásához. Ezt használták a kriptovaluta-eltérítésnél és a digitális eszközlopási műveleteknél.
A Volexity a HaasOnline automatizált kriptokereskedési platform webhelyklónját is feltárta Lazarust. Egy trójai Bloxholder alkalmazást terjesztenek, amely ehelyett a QTBitcoinTrader alkalmazáson belüli AppleJeus malware-t telepítené.
A Lazarus Group egy Észak-Koreában működő kiberfenyegető csoport. Körülbelül 2009 óta működik. Hírhedt arról, hogy világszerte nagy horderejű célpontokat támad meg, köztük bankokat, médiaszervezeteket és kormányzati szerveket.
A csoport a gyanú szerint a Sony Pictures 2014-es feltöréséért és a 2017-es WannaCry ransomware támadásért is felelős.
Forrás: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/