Microsoftin tietoturvaosasto, a lehdistötiedote eilen, 6. joulukuuta, paljasti hyökkäyksen kryptovaluuttojen aloittamiseen. He saivat luottamuksen Telegram-chatin kautta ja lähettivät Excelin nimeltä "OKX Binance ja Huobi VIP fee vertailu.xls", joka sisälsi haitallista koodia, jolla oli mahdollista päästä etäkäyttöön uhrin järjestelmään.
Tietoturvauhkien tiedustelutiimi on jäljittänyt uhkatekijää nimellä DEV-0139. Hakkeri onnistui soluttautumaan viestintäsovelluksen Telegramin chat-ryhmiin, naamioituen kryptosijoitusyhtiön edustajiksi ja teeskennellen keskustelevansa kaupankäyntimaksuista suurten pörssien VIP-asiakkaiden kanssa.
Tavoitteena oli huijata kryptosijoitusrahastot lataamaan Excel-tiedosto. Tämä tiedosto sisältää tarkat tiedot suurten kryptovaluuttapörssien maksurakenteista. Toisaalta siinä on haitallinen makro, joka suorittaa toisen Excel-taulukon taustalla. Tämän avulla tämä huono näyttelijä saa etäyhteyden uhrin tartunnan saaneeseen järjestelmään.
Microsoft selitti: "Excel-tiedoston pääarkki on suojattu salasanalohikäärmeellä, jotta kohdetta kannustetaan ottamaan makrot käyttöön." He lisäsivät: "Arkki on sitten suojaamaton, kun toinen Base64:ään tallennettu Excel-tiedosto on asennettu ja suoritettu. Tätä käytetään todennäköisesti huijaamaan käyttäjää ottamaan makrot käyttöön ilman epäilyksiä."
Raporttien mukaan elokuussa kryptovaluutta kaivoshaittaohjelmien kampanja tartutti yli 111,000 XNUMX käyttäjää.
Uhkatiedustelu yhdistää DEV-0139:n Pohjois-Korean Lazarus-uhkaryhmään.
Haitallisen Excel-makrotiedoston ohella DEV-0139 toimitti myös hyötykuorman osana tätä temppua. Tämä MSI-paketti CryptoDashboardV2-sovellukselle, joka maksaa saman tunkeutumisen. Tämä oli saanut useat tiedustelutiedot viittaamaan siihen, että he ovat myös muiden hyökkäysten takana, jotka käyttävät samaa tekniikkaa mukautetun hyötykuorman työntämiseen.
Ennen DEV-0139:n äskettäistä löytöä oli ollut muita samankaltaisia tietojenkalasteluhyökkäyksiä, jotka jotkin uhkien tiedusteluryhmät ehdottivat, että ne voisivat olla DEV-0139:n toimintoja.
Myös uhkatiedusteluyritys Volexity julkaisi havaintonsa tästä hyökkäyksestä viikonloppuna ja linkitti sen hyökkäykseen Pohjois-Korean Lazarus uhka-ryhmä.
Volexityn mukaan pohjoiskorealainen hakkerit käytä samanlaisia haitallisia kryptovaihtomaksujen vertailutaulukoita AppleJeus-haittaohjelman pudottamiseksi. Tätä he ovat käyttäneet kryptovaluuttojen kaappauksessa ja digitaalisen omaisuuden varkausoperaatioissa.
Volexity on myös paljastanut Lazaruksen käyttämällä verkkosivustokloonia HaasOnlinen automatisoidulle kryptokaupankäyntialustalle. He jakavat troijalaistettua Bloxholder-sovellusta, joka sen sijaan ottaa käyttöön AppleJeus-haittaohjelmia, jotka on yhdistetty QTBitcoinTrader-sovellukseen.
Lazarus Group on Pohjois-Koreassa toimiva kyberuhkaryhmä. Se on ollut aktiivinen noin 2009. Se on kuuluisa hyökkäävänsä korkean profiilin kohteita vastaan maailmanlaajuisesti, mukaan lukien pankit, mediaorganisaatiot ja valtion virastot.
Ryhmän epäillään myös olevan vastuussa vuoden 2014 Sony Pictures -hakkerista ja vuoden 2017 WannaCry-lunnasohjelmahyökkäyksestä.
Lähde: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/