Microsoft izvješćuje da je identificiran akter prijetnje koji cilja na startupe za ulaganja u kriptovalute. Stranka koju je Microsoft nazvao DEV-0139 predstavljala se kao tvrtka za ulaganje u kriptovalute na Telegramu i koristila je Excel datoteku naoružanu "dobro izrađenim" zlonamjernim softverom kako bi zarazila sustave kojima je zatim daljinski pristupala.
Prijetnja je dio trenda napada koji pokazuju visoku razinu sofisticiranosti. U ovom slučaju, akter prijetnje, lažno se identificirajući s lažnim profilima zaposlenika OKX-a, pridružio se Telegram grupama "koje se koriste za olakšavanje komunikacije između VIP klijenata i platformi za razmjenu kriptovaluta", Microsoft napisao u postu na blogu od 6. prosinca. Microsoft je objasnio:
“Svjedoci smo […] složenijih napada u kojima akter prijetnje pokazuje veliko znanje i pripremu, poduzimajući korake kako bi zadobio povjerenje svoje mete prije postavljanja tereta.”
U listopadu je cilj pozvan da se pridruži novoj grupi, a zatim je zamoljen za povratne informacije o Excel dokumentu koji uspoređuje OKX, Binance i Huobi VIP strukture naknada. Dokument je pružio točne informacije i visoku svijest o realnosti kripto trgovanja, ali je također nevidljivo učitao zlonamjernu .dll (Dynamic Link Library) datoteku kako bi stvorio stražnja vrata u sustav korisnika. Meta je zatim zamoljena da sama otvori .dll datoteku tijekom rasprave o naknadama.
Zloglasna grupa Lazarus iz DNRK-a razvila je nove i poboljšane verzije svog zlonamjernog softvera AppleJeus za krađu kriptovaluta, označavajući najnoviji pokušaj režima da prikupi sredstva za programe oružja Kim Jong-una. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) Prosinac 6, 2022
Sama tehnika napada odavno poznato. Microsoft je sugerirao da je akter prijetnje isti kao onaj koji je u lipnju pronađen koristeći .dll datoteke za slične svrhe i da je to vjerojatno iza drugih incidenata. Prema Microsoftu, DEV-0139 je isti akter kao tvrtka za kibernetičku sigurnost Volexity povezan sjevernokorejskoj državno sponzoriranoj Lazarus grupi, koristeći varijantu zlonamjernog softvera poznatog kao AppleJeus i MSI (Microsoftov instalacijski program). Savezna agencija Sjedinjenih Država za kibernetičku sigurnost i sigurnost infrastrukture dokumentirati AppleJeus 2021. i Kaspersky Labs izvijestio na njemu 2020.
Povezano: Sjevernokorejska Lazarus Group navodno stoji iza hakiranja na Ronin Bridge
Ministarstvo financija SAD-a službeno se povezao Lazarus Group sjevernokorejskom programu nuklearnog oružja.
Izvor: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick