Microsoft raportoi, että uhkatekijä on tunnistettu, joka kohdistuu kryptovaluuttasijoittamiseen. Osapuoli, jonka Microsoft on kutsunut DEV-0139:ksi, esiintyi kryptovaluuttasijoitusyhtiönä Telegramissa ja käytti Excel-tiedostoa, joka oli aseistautunut "hyvin muotoilluilla" haittaohjelmilla, tartuttaakseen järjestelmiä, joihin se sitten etäkäveli.
Uhka on osa hyökkäysten kehitystä, joka on erittäin kehittynyt. Tässä tapauksessa uhkatekijä, joka tunnisti itsensä virheellisesti OKX:n työntekijöiden väärennetyillä profiileilla, liittyi Telegram-ryhmiin, joita "käytettiin helpottamaan viestintää VIP-asiakkaiden ja kryptovaluutanvaihtoalustojen välillä", Microsoft kirjoitti 6. joulukuuta blogikirjoituksessa. Microsoft selitti:
"Näemme […] monimutkaisempia hyökkäyksiä, joissa uhkatekijä osoittaa suurta tietämystä ja valmistautumista ja ryhtyy toimiin saavuttaakseen kohteensa luottamuksen ennen hyötykuormien käyttöönottoa."
Lokakuussa kohde kutsuttiin uuteen ryhmään ja sitten pyydettiin palautetta Excel-dokumentista, jossa verrattiin OKX:n, Binancen ja Huobin VIP-maksurakenteita. Asiakirja tarjosi tarkkoja tietoja ja korkean tietoisuuden kryptokaupan todellisuudesta, mutta se myös latasi näkymättömästi haitallisen .dll-tiedoston (Dynamic Link Library) luodakseen takaoven käyttäjän järjestelmään. Kohdetta pyydettiin sitten avaamaan .dll-tiedosto itse maksukeskustelun aikana.
Pohjois-Korean pahamaineinen Lazarus Group on kehittänyt uusia ja parannettuja versioita kryptovaluuttavarastavasta AppleJeus-haittaohjelmastaan, mikä on hallinnon viimeisin yritys kerätä varoja Kim Jong-unin aseohjelmiin. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korean puheenjohtaja (@CSISKoreaChair) Joulukuu 6, 2022
Itse hyökkäystekniikka on ollut tiedossa jo kauan. Microsoft ehdotti, että uhkatekijä oli sama kuin se, joka löydettiin käyttämällä .dll-tiedostoja vastaaviin tarkoituksiin kesäkuussa, ja se oli luultavasti myös muiden tapausten takana. Microsoftin mukaan DEV-0139 on sama toimija kuin kyberturvallisuusyritys Volexity liittyvät Pohjois-Korean valtion tukemalle Lazarus Groupille käyttämällä AppleJeus-nimistä haittaohjelmia ja MSI-asennusohjelmaa (Microsoftin asennusohjelma). Yhdysvaltain liittovaltion kyberturvallisuuden ja infrastruktuurin turvallisuusvirasto dokumentoitu AppleJeus vuonna 2021 ja Kaspersky Labs raportoitu siihen vuonna 2020.
Related: Pohjois-Korean Lazarus Groupin väitetään olevan Ronin Bridgen hakkeroinnin takana
Yhdysvaltain valtiovarainministeriö on virallisesti yhteydessä Lazarus Group osallistuu Pohjois-Korean ydinaseohjelmaan.
Lähde: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick