A Microsoft jelentése szerint egy fenyegető szereplőt azonosítottak, amely a kriptovaluta-befektetéseket indító vállalkozásokat célozza meg. A Microsoft DEV-0139 névre keresztelt párt kriptovaluta befektetési társaságnak adta ki magát a Telegramon, és egy „jól kidolgozott” rosszindulatú programokkal felfegyverzett Excel-fájlt használt a rendszerek megfertőzésére, amelyeket aztán távolról is elért.
A fenyegetés a támadások tendenciájának része, amely magas szintű kifinomultságot mutat. Ebben az esetben a fenyegetőző, hamisan az OKX alkalmazottainak hamis profiljaival azonosítva magát, csatlakozott a Telegram-csoportokhoz, amelyek „a VIP kliensek és a kriptovaluta csereplatformok közötti kommunikáció megkönnyítésére szolgálnak” írt december 6-i blogbejegyzésben. A Microsoft elmagyarázta:
„Összetettebb támadásokat látunk, amelyek során a fenyegetés szereplői nagy tudásról és felkészültségről tesznek tanúbizonyságot, és lépéseket tesznek célpontjuk bizalmának elnyerésére, mielőtt rakományokat telepítenek.”
Októberben a célszemély felkérést kapott, hogy csatlakozzon egy új csoporthoz, majd visszajelzést kértek egy Excel dokumentumról, amely összehasonlította az OKX, a Binance és a Huobi VIP díjstruktúráját. A dokumentum pontos információkat és magas szintű ismereteket adott a kriptokereskedelem valóságáról, de láthatatlanul oldalba töltött egy rosszindulatú .dll (Dynamic Link Library) fájlt, hogy egy hátsó ajtót hozzon létre a felhasználó rendszerébe. A célszemélyt ezután arra kérték, hogy a díjakról szóló vita során maguk nyissa meg a .dll fájlt.
A KNDK hírhedt Lazarus csoportja új és továbbfejlesztett verziókat fejlesztett ki kriptovalutát ellopó AppleJeus malware-jéhez, ami a rezsim legutóbbi kísérlete, hogy pénzt gyűjtsön Kim Dzsong Un fegyverprogramjaihoz. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea elnök (@CSISKoreaChair) December 6, 2022
Maga a támadási technika régóta ismert. A Microsoft azt javasolta, hogy a fenyegetés szereplője ugyanaz, mint akit júniusban találtak hasonló célokra .dll fájlokat használva, és valószínűleg ez állt más incidensek hátterében is. A Microsoft szerint a DEV-0139 ugyanaz a szereplő, mint a Volexity kiberbiztonsági cég összekapcsolt az észak-koreai államilag szponzorált Lazarus Group számára, az AppleJeus néven ismert rosszindulatú program egy változatát és egy MSI-t (Microsoft telepítő) használva. Az Egyesült Államok Szövetségi Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége dokumentált Az AppleJeus 2021-ben és a Kaspersky Labs jelentett rajta 2020-ban.
Kapcsolódó: Állítólag az észak-koreai Lazarus Group áll a Ronin Bridge feltörése mögött
Az amerikai pénzügyminisztérium hivatalosan is csatlakozott A Lazarus csoport Észak-Korea atomfegyver-programjához.
Forrás: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick