Microsoft hlásí, že byl identifikován aktér ohrožení, který se zaměřuje na začínající investory v oblasti kryptoměn. Strana, kterou Microsoft nazval DEV-0139, se na Telegramu vydával za kryptoměnovou investiční společnost a použil excelový soubor vybavený „dobře vytvořeným“ malwarem k infikování systémů, ke kterým pak vzdáleně přistupoval.
Hrozba je součástí trendu útoků vykazujících vysokou úroveň sofistikovanosti. V tomto případě se aktér hrozby, který se falešně identifikuje s falešnými profily zaměstnanců OKX, připojil k telegramovým skupinám „používaným k usnadnění komunikace mezi VIP klienty a platformami pro výměnu kryptoměn“, Microsoft napsal v příspěvku na blogu ze 6. prosince. Microsoft vysvětlil:
„Jsme […] svědky složitějších útoků, kdy aktér hrozby prokazuje skvělé znalosti a připravenost a podniká kroky k získání důvěry svého cíle před nasazením užitečného zatížení.“
V říjnu byl cíl pozván, aby se připojil k nové skupině, a poté požádal o zpětnou vazbu k dokumentu Excel, který porovnával struktury VIP poplatků OKX, Binance a Huobi. Dokument poskytoval přesné informace a vysoké povědomí o realitě obchodování s kryptoměnami, ale také neviditelně nahrál škodlivý soubor .dll (Dynamic Link Library), aby vytvořil zadní vrátka do systému uživatele. Cíl byl poté požádán, aby sám otevřel soubor .dll v průběhu diskuse o poplatcích.
Nechvalně známá KLDR Lazarus Group vyvinula nové a vylepšené verze svého malwaru AppleJeus pro krádeže kryptoměn, což znamená poslední pokus režimu získat finanční prostředky na zbrojní programy Kim Čong-una. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) 6. prosince 2022
Samotná technika útoku je již dlouho známo. Společnost Microsoft navrhla, že aktér hrozby byl stejný jako ten, který byl v červnu nalezen pomocí souborů .dll pro podobné účely, a pravděpodobně také stál za jinými incidenty. Podle Microsoftu je DEV-0139 stejným hráčem jako firma Volexity zabývající se kybernetickou bezpečností spojené do severokorejské státem podporované skupiny Lazarus Group pomocí varianty malwaru známého jako AppleJeus a MSI (instalátor Microsoftu). Federální agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury Spojených států amerických dokumentovány AppleJeus v roce 2021 a Kaspersky Labs hlášeny na něm v roce 2020.
Související: Severokorejská skupina Lazarus údajně stojí za hackem Ronin Bridge
Ministerstvo financí USA se oficiálně připojil Lazarus Group k severokorejskému programu jaderných zbraní.
Zdroj: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick