Lazarus-gruppen, en nordkoreansk hackerorganisation, der tidligere var knyttet til kriminel aktivitet, er blevet forbundet med en ny angrebsordning for at bryde systemer og stjæle kryptovaluta fra tredjeparter. Kampagnen, som bruger en modificeret version af et allerede eksisterende malware-produkt kaldet Applejeus, bruger et kryptowebsted og endda dokumenter til at få adgang til systemer.
Modificeret Lazarus Malware brugte kryptowebsted som facade
Volexity, et Washington DC-baseret cybersikkerhedsfirma, har forbundet Lazarus, en nordkoreansk hackergruppe, der allerede er sanktioneret af den amerikanske regering, med en trussel, der involverer brugen af et kryptowebsted til at inficere systemer for at stjæle information og kryptovaluta fra tredjeparter.
Et blogindlæg udstedt den 1. december afslørede, at Lazarus i juni registrerede et domæne kaldet "bloxholder.com", som senere ville blive etableret som en virksomhed, der tilbyder tjenester til automatisk handel med kryptovaluta. Ved at bruge dette websted som en facade fik Lazarus brugerne til at downloade en applikation, der fungerede som en nyttelast til at levere Applejeus-malwaren, rettet til at stjæle private nøgler og andre data fra brugernes systemer.
Den samme strategi har været brugt af Lazarus før. Denne nye ordning bruger dog en teknik, der gør det muligt for applikationen at "forvirre og bremse" malware-detektionsopgaver.
Dokumentmakroer
Volexity fandt også ud af, at teknikken til at levere denne malware til slutbrugere ændrede sig i oktober. Metoden ændrede sig til at bruge Office-dokumenter, specifikt et regneark indeholdende makroer, en slags program indlejret i dokumenterne designet til at installere Applejeus malware på computeren.
Dokumentet, der er identificeret med navnet "OKX Binance & Huobi VIP fee comparision.xls," viser de fordele, som hver af VIP-programmerne på disse børser angiveligt tilbyder på deres forskellige niveauer. For at afbøde denne form for angreb anbefales det at blokere udførelsen af makroer i dokumenter og også undersøge og overvåge oprettelsen af nye opgaver i operativsystemet for at være opmærksom på nye uidentificerede opgaver, der kører i baggrunden. Veloxity informerede dog ikke om rækkevidden, som denne kampagne har opnået.
Lazarus var formelt tiltalt af det amerikanske justitsministerium (DOJ) i februar 2021, der involverer en operatør fra gruppen, der er knyttet til en nordkoreansk efterretningsorganisation, Reconnaissance General Bureau (RGB). Inden da, i marts 2020, var DOJ tiltalt to kinesiske statsborgere for at have hjulpet med hvidvaskning af mere end 100 millioner dollars i kryptovaluta forbundet med Lazarus' bedrifter.
Hvad synes du om Lazarus' seneste cryptocurrency malware-kampagne? Fortæl os i kommentarfeltet nedenfor.
Billedkreditter: Shutterstock, Pixabay, Wiki Commons
Ansvarsfraskrivelse: Denne artikel er kun til informationsformål. Det er ikke et direkte tilbud eller opfordring til et tilbud om at købe eller sælge eller en anbefaling eller påtegning af produkter, tjenester eller virksomheder. Bitcoin.com leverer ikke investerings-, skattemæssig, juridisk eller regnskabsrådgivning. Hverken virksomheden eller forfatteren er ansvarlig, direkte eller indirekte, for skader eller tab, der er forårsaget eller påstås at være forårsaget af eller i forbindelse med brugen af eller afhængighed af noget indhold, varer eller tjenester, der er nævnt i denne artikel.
Kilde: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/