Microsoft informuje, że zidentyfikowano cyberprzestępcę atakującego start-upy inwestujące w kryptowaluty. Partia, którą Microsoft nazwał DEV-0139, pozowała na Telegramie jako firma inwestująca w kryptowaluty i użyła pliku Excela uzbrojonego w „dobrze spreparowane” złośliwe oprogramowanie do zainfekowania systemów, do których następnie uzyskała zdalny dostęp.
Zagrożenie wpisuje się w trend ataków wykazujących wysoki poziom wyrafinowania. W tym przypadku cyberprzestępca, fałszywie identyfikując się z fałszywymi profilami pracowników OKX, dołączył do grup Telegram „służących do ułatwienia komunikacji między klientami VIP a platformami wymiany kryptowalut”, Microsoft napisał w poście na blogu z 6 grudnia. Microsoft wyjaśnił:
„Widzimy […] bardziej złożone ataki, w których cyberprzestępca wykazuje się dużą wiedzą i przygotowaniem, podejmując kroki w celu zdobycia zaufania celu przed rozmieszczeniem ładunków”.
W październiku ofiara została zaproszona do dołączenia do nowej grupy, a następnie poproszona o opinię na temat dokumentu Excel, który porównywał struktury opłat OKX, Binance i Huobi VIP. Dokument dostarczał dokładnych informacji i zapewniał wysoką świadomość realiów handlu kryptowalutami, ale także niewidocznie ładował z boku złośliwy plik .dll (Dynamic Link Library), aby utworzyć tylne wejście do systemu użytkownika. Następnie ofiara została poproszona o samodzielne otwarcie pliku .dll w trakcie dyskusji na temat opłat.
Niesławna grupa Lazarus z KRLD opracowała nowe i ulepszone wersje swojego złośliwego oprogramowania AppleJeus, które kradnie kryptowaluty, co oznacza ostatnią próbę reżimu w celu zebrania funduszy na programy zbrojeniowe Kim Jong-una. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Przewodniczący CSIS Korea (@CSISKoreaChair) 6 grudnia 2022 r.
Sama technika ataku jest od dawna znany. Firma Microsoft zasugerowała, że cyberprzestępca był tym samym, który wykorzystywał pliki .dll do podobnych celów w czerwcu i prawdopodobnie stało to również za innymi incydentami. Według Microsoftu DEV-0139 to ten sam aktor, co firma Volexity zajmująca się cyberbezpieczeństwem powiązany do sponsorowanej przez państwo północnokoreańskiej grupy Lazarus, używając wariantu złośliwego oprogramowania znanego jako AppleJeus i MSI (instalator firmy Microsoft). Federalna Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych udokumentowane AppleJeus w 2021 r. oraz Kaspersky Labs zgłaszane na nim w 2020 r.
Związane z: Północnokoreańska grupa Lazarus rzekomo za włamaniem na Ronin Bridge
Departament Skarbu USA oficjalnie się połączył Lazarus Group do programu broni jądrowej Korei Północnej.
Źródło: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick