Grupa Lazarus, sjevernokorejska hakerska organizacija prethodno povezana s kriminalnim aktivnostima, povezana je s novom shemom napada za probijanje sustava i krađu kriptovalute od trećih strana. Kampanja, koja koristi modificiranu verziju već postojećeg malware proizvoda pod nazivom Applejeus, koristi kripto stranicu, pa čak i dokumente za pristup sustavima.
Modificirani zlonamjerni softver Lazarus koristio je kripto stranicu kao fasadu
Volexity, tvrtka za kibernetičku sigurnost sa sjedištem u Washingtonu, povezala je Lazarus, sjevernokorejsku hakersku skupinu koju je već sankcionirala američka vlada, s prijetnjom koja uključuje korištenje kripto stranice za zarazu sustava u cilju krađe informacija i kriptovalute od trećih strana.
Post na blogu izdala 1. prosinca otkrio je da je Lazarus u lipnju registrirao domenu pod nazivom "bloxholder.com", koja će kasnije biti osnovana kao tvrtka koja nudi usluge automatskog trgovanja kriptovalutama. Koristeći ovu stranicu kao fasadu, Lazarus je potaknuo korisnike da preuzmu aplikaciju koja je služila kao korisni teret za isporuku zlonamjernog softvera Applejeus, usmjerenog na krađu privatnih ključeva i drugih podataka iz korisničkih sustava.
Istu strategiju Lazarus je već koristio. Međutim, ova nova shema koristi tehniku koja omogućuje aplikaciji da "zbuni i uspori" zadatke otkrivanja zlonamjernog softvera.
Makronaredbe dokumenta
Volexity je također otkrio da se tehnika isporuke ovog zlonamjernog softvera krajnjim korisnicima promijenila u listopadu. Metoda se preobrazila u korištenje dokumenata sustava Office, točnije proračunske tablice koje sadrže makronaredbe, neku vrstu programa ugrađenog u dokumente dizajniranog za instaliranje zlonamjernog softvera Applejeus u računalo.
Dokument, identificiran s nazivom “OKX Binance & Huobi VIP fee comparision.xls,” prikazuje pogodnosti koje svaki od VIP programa ovih burzi navodno nudi na svojim različitim razinama. Kako bi se ublažila ova vrsta napada, preporučuje se blokirati izvršavanje makronaredbi u dokumentima, te također pažljivo proučiti i pratiti stvaranje novih zadataka u OS-u kako biste bili svjesni novih neidentificiranih zadataka koji se izvode u pozadini. Međutim, Veloxity nije obavijestio o razini dosega koju je ova kampanja postigla.
Lazar je formalno bio optuženi od strane Ministarstva pravosuđa SAD-a (DOJ) u veljači 2021., uključujući operativca grupe povezane sa sjevernokorejskom obavještajnom organizacijom, Reconnaissance General Bureau (RGB). Prije toga, u ožujku 2020., DOJ optuženi dvojica kineskih državljana za pomaganje u pranju više od 100 milijuna dolara u kriptovaluti povezanim s Lazarusovim pothvatima.
Što mislite o najnovijoj Lazarusovoj kampanji zlonamjernog softvera za kriptovalute? Recite nam u odjeljku za komentare ispod.
Image Credits: Shutterstock, Pixabay, Wiki Commons
Izjava o odricanju od odgovornosti: Ovaj je članak samo u informativne svrhe. To nije izravna ponuda ili prikupljanje ponuda za kupnju ili prodaju ili preporuka ili potvrda bilo kojeg proizvoda, usluge ili tvrtke. Bitcoin.com ne pruža investicijske, porezne, pravne ili računovodstvene savjete. Ni tvrtka ni autor nisu izravno ili neizravno odgovorni za bilo kakvu štetu ili gubitak koji je uzrokovan ili navodno uzrokovan ili povezan s uporabom ili oslanjanjem na bilo koji sadržaj, robu ili usluge navedene u ovom članku.
Izvor: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/