Microsoft rapporterer, at en trusselsaktør er blevet identificeret rettet mod opstart af cryptocurrency-investeringer. En part, som Microsoft har døbt DEV-0139, udgav sig for at være et investeringsselskab for kryptovaluta på Telegram og brugte en Excel-fil bevæbnet med "vellavet" malware til at inficere systemer, som den derefter fik fjernadgang til.
Truslen er en del af en tendens i angreb, der viser et højt niveau af sofistikering. I dette tilfælde sluttede trusselsaktøren sig, der fejlagtigt identificerede sig med falske profiler af OKX-ansatte, i Telegram-grupper, der "bruges til at lette kommunikationen mellem VIP-klienter og cryptocurrency-udvekslingsplatforme," Microsoft skrev i et blogindlæg den 6. december. Microsoft forklarede:
"Vi ser mere komplekse angreb, hvor trusselsaktøren viser stor viden og forberedelse, og tager skridt til at vinde deres måls tillid, før de implementerer nyttelast."
I oktober blev målet inviteret til at deltage i en ny gruppe og bad derefter om feedback på et Excel-dokument, der sammenlignede OKX, Binance og Huobi VIP gebyrstrukturer. Dokumentet gav nøjagtig information og høj bevidsthed om virkeligheden af kryptohandel, men det sideloadede også usynligt en ondsindet .dll-fil (Dynamic Link Library) for at skabe en bagdør ind i brugerens system. Målet blev derefter bedt om selv at åbne .dll-filen i løbet af diskussionen om gebyrer.
DPRK's berygtede Lazarus-gruppe har udviklet nye og forbedrede versioner af sin cryptocurrency-stjælende malware AppleJeus, hvilket markerer regimets seneste forsøg på at samle midler til Kim Jong-uns våbenprogrammer. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) 6. December, 2022
Selve angrebsteknikken har længe været kendt. Microsoft foreslog, at trusselsaktøren var den samme som den, der blev fundet ved hjælp af .dll-filer til lignende formål i juni, og det var sandsynligvis også bag andre hændelser. Ifølge Microsoft er DEV-0139 den samme aktør som cybersikkerhedsfirmaet Volexity forbundet til Nordkoreas statssponserede Lazarus Group, ved hjælp af en variant af malware kendt som AppleJeus og et MSI (Microsoft-installationsprogram). USAs føderale Cybersecurity and Infrastructure Security Agency dokumenteret AppleJeus i 2021 og Kaspersky Labs rapporteret på det i 2020.
Relateret: Den nordkoreanske Lazarus Group står angiveligt bag hacket på Ronin Bridge
Det amerikanske finansministerium har officielt tilsluttet sig Lazarus Group til Nordkoreas atomvåbenprogram.
Kilde: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick