- A Microsoft egy új jelentésében azonosította azt a fenyegető szereplőt, aki a kártevő támadás előtt került szóba
- A Volexity egy listát is kiadott a felhasználók számára az ezen kártevők által jelentett kockázatok mérséklésére vonatkozó ajánlásokról
A Microsoft technológiai óriáscég által közzétett új jelentés közelebbről megvizsgálta a Lazarus Group által elkövetett rosszindulatú tevékenységeket. Emlékezzünk vissza, hogy a Lazarus Group a hírhedt észak-koreai hackercsoport volt.
A DEV-0139 a kriptokereskedőket célozza meg
Szerint jelentést, a Microsoft azonosított egy fenyegető szereplőt, amely a kriptovaluta-kereskedőket célozta meg. A DEV-0139 névre keresztelt fenyegetés szereplője állítólag elnyerte a célpont bizalmát, mielőtt bevetette volna a rosszindulatú támadást. A módszer a lehetséges célpontok azonosításával kezdődik a Telegram csoportokon keresztül.
A megfelelő szintű bizalom létrejötte után a DEV-0139 elküld egy fertőzött Excel-fájlt „OKX Binance & Houbi VIP díj összehasonlítása.xls” néven. Ez történetesen egy valódi kinézetű dokumentum, amely díjstruktúrákat tartalmaz. A fájlba azonban egy rosszindulatú program van beágyazva, amely hátsó ajtót biztosít az elkövetőnek.
A Volexity beszámolója
A Microsoft állításait az amerikai kiberbiztonsági cég is támogatta Volexitás, amely az AppleJeus kártevő legújabb törzseként azonosította a DEV-0139-et. Ezt a kártevőt a Lazarus csoporthoz vezették vissza.
"A telepített AppleJeus rosszindulatú program technikai elemzése a DLL oldalsó betöltés egy új változatát tárta fel, amelyet a Volexity korábban nem látott vadonnak dokumentálva." – közölte a cég.
A Volexity szerint a Lazarus fokozott ellenőrzése és ismertsége késztette arra, hogy ehhez a módosított kártevőhöz folyamodjon. A rosszindulatú program történetesen viszonylag alacsony szintű, de több erőfeszítést igényel a sikerhez.
Javaslatok a DEV-0139 elleni védekezésre
A Microsoft azt javasolta a felhasználóknak, hogy módosítsák az Excel makró biztonsági beállításait, hogy szabályozzák, mely makrók és milyen körülmények között futjanak. Ezenkívül a vállalat arra kérte a felhasználókat, hogy kapcsolják be a Microsoft támadási felület csökkentésére vonatkozó szabályokat.
A Volexity egy listát is kiadott a felhasználók számára az ezen kártevők által jelentett kockázatok mérséklésére vonatkozó ajánlásokról. A Microsoft Office makrófuttatásának blokkolása mellett a cég arra kérte a felhasználókat, hogy használják a A YARA szabályokat. Ezek a szabályok segítik a rosszindulatú tevékenységek észlelését, és bizonyos esetekben blokkolnak IOC-k.
A Lázár-csoport
A Lazarus Group ebben az évben több feltörésben és kizsákmányolásban vett részt. A visszaélések tehát több száz millió dolláros veszteséget okoztak. A legnagyobb horderejű hacket az Axie Infinity-n hajtották végre Ronin híd még márciusban. Ez 600 millió dolláros veszteséget eredményezett.
További ismert támadások közé tartozik a 100 millió dolláros feltörés Harmónia Protokoll júniusban. Ez a csoport is az volt hibáztatta a Japán Nemzeti Rendőrség által elkövetett adathalász támadások sorozata miatt, amelyek célja kriptoeszközök ellopása az ország kriptográfiai cégeitől.
Forrás: https://ambcrypto.com/microsofts-latest-revelation-about-lazarus-group-is-all-you-need-to-know/