Microsoft ziņo, ka ir identificēts draudu aktieris, kas vērsts uz kriptovalūtas investīciju jaunizveidotiem uzņēmumiem. Puse, kuru korporācija Microsoft nodēvējusi par DEV-0139, telegrammā izlikās par kriptovalūtas ieguldījumu uzņēmumu un izmantoja Excel failu, kas bija apbruņots ar “labi izstrādātu” ļaunprātīgu programmatūru, lai inficētu sistēmas, kurām pēc tam attālināti piekļuva.
Draudi ir daļa no uzbrukumu tendences, kas liecina par augstu sarežģītības līmeni. Šajā gadījumā draudu izpildītājs, nepatiesi identificējot sevi ar viltotiem OKX darbinieku profiliem, pievienojās Telegram grupām, kas "tiek izmantotas, lai atvieglotu saziņu starp VIP klientiem un kriptovalūtu apmaiņas platformām", Microsoft rakstīja: 6. decembra emuāra ierakstā. Microsoft paskaidroja:
"Mēs […] redzam sarežģītākus uzbrukumus, kuros apdraudējuma dalībnieks izrāda lielas zināšanas un sagatavošanos, veicot pasākumus, lai iegūtu mērķa uzticību pirms kravas izvietošanas."
Oktobrī mērķis tika uzaicināts pievienoties jaunai grupai un pēc tam lūdza atsauksmes par Excel dokumentu, kurā tika salīdzinātas OKX, Binance un Huobi VIP maksas struktūras. Dokuments sniedza precīzu informāciju un lielu izpratni par kriptovalūtu tirdzniecības realitāti, taču tajā arī nemanāmi tika ielādēts ļaunprātīgs .dll (Dynamic Link Library) fails, lai izveidotu aizmugures durvis lietotāja sistēmā. Mērķim tika lūgts pašam atvērt .dll failu diskusijas par maksām laikā.
KTDR bēdīgi slavenā Lazarus grupa ir izstrādājusi jaunas un uzlabotas kriptovalūtas zagšanas ļaunprogrammatūras AppleJeus versijas, iezīmējot režīma pēdējo mēģinājumu savākt līdzekļus Kima Čenuna ieroču programmām. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea priekšsēdētājs (@CSISKoreaChair) Decembris 6, 2022
Pati uzbrukuma tehnika jau sen zināms. Microsoft ierosināja, ka draudu izraisītājs bija tas pats, kas jūnijā tika atrasts, izmantojot .dll failus līdzīgiem mērķiem, un tas, iespējams, bija arī citu incidentu pamatā. Pēc Microsoft domām, DEV-0139 ir tas pats dalībnieks, kas kiberdrošības uzņēmums Volexity saistīta Ziemeļkorejas valsts sponsorētajai Lazarus grupai, izmantojot ļaunprātīgas programmatūras variantu, kas pazīstams kā AppleJeus, un MSI (Microsoft instalētāju). Amerikas Savienoto Valstu federālā kiberdrošības un infrastruktūras drošības aģentūra dokumentēta AppleJeus 2021. gadā un Kaspersky Labs ziņots par to 2020.
Saistītie: Ziemeļkorejas Lazarus Group, iespējams, aiz Ronina tilta uzlaušanas
ASV Valsts kases departaments ir oficiāli savienots Lazarus grupa Ziemeļkorejas kodolieroču programmai.
Avots: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick