Sigurnosni odjel Microsofta, u a priopćenje za tisak jučer, 6. prosinca, otkrio je napad koji je ciljao na startupe kriptovalute. Stekli su povjerenje putem Telegram chata i poslali Excel pod nazivom “OKX Binance and Huobi VIP fee usporedba.xls,” koji je sadržavao maliciozni kod koji je mogao daljinski pristupiti žrtvinom sustavu.
Tim za obavještavanje o sigurnosnim prijetnjama pratio je aktera prijetnje kao DEV-0139. Haker se uspio infiltrirati u chat grupe na Telegramu, aplikaciji za razmjenu poruka, maskirajući se u predstavnike kripto investicijske tvrtke i pretvarajući se da razgovara o naknadama za trgovanje s VIP klijentima velikih burzi.
Cilj je bio prevariti kripto investicijske fondove da preuzmu Excel datoteku. Ova datoteka sadrži točne informacije o strukturama naknada glavnih burzi kriptovaluta. S druge strane, ima zlonamjernu makronaredbu koja u pozadini pokreće drugi Excel list. Time ovaj loš akter dobiva udaljeni pristup zaraženom sustavu žrtve.
microsoft objasnio je: "Glavni list u Excel datoteci zaštićen je lozinkom Dragon kako bi se cilj potaknuo da omogući makronaredbe." Dodali su: "Tablica je tada nezaštićena nakon instaliranja i pokretanja druge Excel datoteke pohranjene u Base64. Ovo se vjerojatno koristi kako bi se prevario korisnik da omogući makronaredbe i ne izazove sumnju.”
Prema izvješćima, u kolovozu je cryptocurrency rudarska zlonamjerna kampanja zarazila je više od 111,000 korisnika.
Obavještajni podaci o prijetnjama povezuju DEV-0139 sa sjevernokorejskom prijetnjom skupinom Lazarus.
Zajedno sa zlonamjernom makro Excel datotekom, DEV-0139 također je isporučio korisni teret kao dio ove prijevare. Ovo je MSI paket za aplikaciju CryptoDashboardV2, koji plaća istu smetnju. To je navelo nekoliko obavještajnih podataka da sugeriraju da oni također stoje iza drugih napada koristeći istu tehniku za guranje prilagođenog korisnog opterećenja.
Prije nedavnog otkrića DEV-0139, bilo je drugih sličnih phishing napada za koje su neki timovi za obavještavanje o prijetnjama sugerirali da bi mogli biti posljedica DEV-0139.
Tvrtka za obavještavanje o prijetnjama Volexity također je objavila svoje nalaze o ovom napadu tijekom vikenda, povezujući ga s Sjevernokorejski Lazar skupina prijetnji.
Prema Volexityju, sjevernokorejski hakeri upotrijebite slične zlonamjerne proračunske tablice za usporedbu naknada za kripto razmjenu kako biste uklonili zlonamjerni softver AppleJeus. To je ono što su koristili u operacijama otmice kriptovalute i krađe digitalne imovine.
Volexity je također otkrio Lazarus koristeći klon web stranice za HaasOnline platformu za automatizirano kripto trgovanje. Oni distribuiraju trojaniziranu aplikaciju Bloxholder koja bi umjesto toga implementirala zlonamjerni softver AppleJeus u paketu s aplikacijom QTBitcoinTrader.
Lazarus grupa je kibernetička prijetnja koja djeluje u Sjevernoj Koreji. Aktivan je otprilike od 2009. godine. Ozloglašen je po napadima na visokoprofilirane mete diljem svijeta, uključujući banke, medijske organizacije i vladine agencije.
Grupa se također sumnjiči da je odgovorna za hakiranje Sony Picturesa 2014. i napad ransomwareom WannaCry 2017.
Izvor: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/