Microsofts sikkerhedsafdeling, i en pressemeddelelse i går, 6. december, afslørede et angreb rettet mod cryptocurrency-startups. De fik tillid gennem Telegram-chat og sendte en Excel med titlen "OKX Binance and Huobi VIP fee comparison.xls", som indeholdt ondsindet kode, der kunne fjernadgang til offerets system.
Efterretningsteamet for sikkerhedstrusler har sporet trusselsaktøren som DEV-0139. Hackeren var i stand til at infiltrere chatgrupper på Telegram, messaging-appen, udgivet sig som repræsentanter for et kryptoinvesteringsselskab og foregive at diskutere handelsgebyrer med VIP-kunder på større børser.
Målet var at narre kryptoinvesteringsfonde til at downloade en Excel-fil. Denne fil indeholder nøjagtige oplysninger om gebyrstrukturerne for større cryptocurrency-børser. På den anden side har den en ondsindet makro, der kører et andet Excel-ark i baggrunden. Med dette får denne dårlige skuespiller fjernadgang til ofrets inficerede system.
microsoft forklarede, "Hovedarket i Excel-filen er beskyttet med adgangskodedragen for at tilskynde målet til at aktivere makroerne." De tilføjede: "Arket er så ubeskyttet efter installation og kørsel af den anden Excel-fil, der er gemt i Base64. Dette bruges sandsynligvis til at narre brugeren til at aktivere makroer og ikke vække mistanke."
Ifølge rapporter, i august cryptocurrency mining malware-kampagne inficerede mere end 111,000 brugere.
Trusselsefterretninger forbinder DEV-0139 med den nordkoreanske Lazarus-trusselsgruppe.
Sammen med den ondsindede makro Excel-fil leverede DEV-0139 også en nyttelast som en del af dette trick. Dette er en MSI-pakke til en CryptoDashboardV2-app, der udbetaler den samme obtrusion. Dette havde fået flere efterretninger til at antyde, at de også står bag andre angreb, der bruger den samme teknik til at skubbe tilpassede nyttelaster.
Før den nylige opdagelse af DEV-0139, havde der været andre lignende phishing-angreb, som nogle trusselsefterretningshold foreslog kunne være DEV-0139's funktion.
Trusselsefterretningsfirmaet Volexity offentliggjorde også sine resultater om dette angreb i weekenden og kædede det sammen med Nordkoreanske Lazarus trusselsgruppe.
Ifølge Volexity, nordkoreaneren hackere bruge lignende ondsindede regneark til sammenligning af krypto-udvekslingsgebyrer for at droppe AppleJeus-malwaren. Dette er, hvad de har brugt til kapring af kryptovaluta og tyveri af digitale aktiver.
Volexity har også afsløret Lazarus ved hjælp af en webstedsklon til HaasOnline automatiserede kryptohandelsplatform. De distribuerer en trojaniseret Bloxholder-app, der i stedet vil implementere AppleJeus-malware, der er samlet i QTBitcoinTrader-appen.
Lazarus Group er en cybertrusselgruppe, der opererer i Nordkorea. Den har været aktiv siden omkring 2009. Den er berygtet for at angribe højprofilerede mål verden over, herunder banker, medieorganisationer og statslige agenturer.
Gruppen er også mistænkt for at være ansvarlig for 2014 Sony Pictures-hacket og WannaCry ransomware-angrebet i 2017.
Kilde: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/