Dział bezpieczeństwa firmy Microsoft, w komunikat prasowy wczoraj, 6 grudnia, wykrył atak wymierzony w startupy kryptowalutowe. Zyskali zaufanie za pośrednictwem czatu Telegram i wysłali plik Excel zatytułowany „OKX Binance and Huobi VIP fee porównania.xls”, który zawierał złośliwy kod, który mógł uzyskać zdalny dostęp do systemu ofiary.
Zespół analizy zagrożeń bezpieczeństwa wyśledził aktora jako DEV-0139. Haker był w stanie zinfiltrować grupy czatu w Telegramie, aplikacji do przesyłania wiadomości, podszywając się pod przedstawicieli kryptowalutowej firmy inwestycyjnej i udając, że omawia opłaty handlowe z klientami VIP głównych giełd.
Celem było nakłonienie kryptowalutowych funduszy inwestycyjnych do pobrania pliku Excel. Ten plik zawiera dokładne informacje o strukturach opłat głównych giełd kryptowalut. Z drugiej strony posiada złośliwe makro, które uruchamia inny arkusz Excela w tle. Dzięki temu ten zły aktor uzyskuje zdalny dostęp do zainfekowanego systemu ofiary.
Microsoft wyjaśnił: „Główny arkusz w pliku Excel jest chroniony smokiem hasła, aby zachęcić cel do włączenia makr”. Dodali: „Arkusz nie jest wtedy chroniony po zainstalowaniu i uruchomieniu innego pliku Excela przechowywanego w Base64. Jest to prawdopodobnie wykorzystywane do oszukania użytkownika, aby włączył makra i nie wzbudzał podejrzeń”.
Według doniesień, w sierpniu br kryptowaluta kampania złośliwego oprogramowania typu mining zainfekowała ponad 111,000 XNUMX użytkowników.
Informacje o zagrożeniach łączą DEV-0139 z północnokoreańską grupą Lazarus.
Wraz ze złośliwym plikiem makr Excel, DEV-0139 dostarczył również ładunek w ramach tego oszustwa. Jest to pakiet MSI dla aplikacji CryptoDashboardV2, który wypłaca tę samą przeszkodę. To sprawiło, że kilka wywiadów zasugerowało, że stoją również za innymi atakami wykorzystującymi tę samą technikę do wysyłania niestandardowych ładunków.
Przed niedawnym odkryciem DEV-0139 miały miejsce inne podobne ataki phishingowe, które według niektórych zespołów zajmujących się analizą zagrożeń mogły być dziełem DEV-0139.
Firma Volexity zajmująca się wywiadem o zagrożeniach również opublikowała swoje ustalenia dotyczące tego ataku w weekend, łącząc go z Łazarz z Korei Północnej grupa zagrożenia.
Według Volexity, Koreańczyk z północy hakerzy używać podobnych złośliwych arkuszy kalkulacyjnych porównujących opłaty za wymianę kryptowalut, aby usunąć złośliwe oprogramowanie AppleJeus. To właśnie wykorzystali w operacjach przejmowania kryptowalut i kradzieży aktywów cyfrowych.
Volexity odkryło również Lazarusa za pomocą klonu strony internetowej dla zautomatyzowanej platformy handlu kryptograficznego HaasOnline. Rozpowszechniają trojanizowaną aplikację Bloxholder, która zamiast tego wdraża złośliwe oprogramowanie AppleJeus w pakiecie z aplikacją QTBitcoinTrader.
Grupa Lazarus to grupa cyberprzestępców działająca w Korei Północnej. Jest aktywny od około 2009 roku. Jest znany z atakowania znanych celów na całym świecie, w tym banków, organizacji medialnych i agencji rządowych.
Podejrzewa się również, że grupa jest odpowiedzialna za włamanie do Sony Pictures w 2014 roku i atak ransomware WannaCry w 2017 roku.
Źródło: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/