Microsoftov varnostni oddelek v a sporočilo za javnost včeraj, 6. decembra, je odkril napad, ki je bil usmerjen na startupe s kriptovalutami. Pridobili so zaupanje prek klepeta Telegram in poslali Excel z naslovom »OKX Binance and Huobi VIP fee comparation.xls«, ki je vseboval zlonamerno kodo, ki je lahko oddaljeno dostopala do sistema žrtve.
Skupina za obveščanje o varnostnih grožnjah je akterju grožnje sledila kot DEV-0139. Heker se je lahko infiltriral v klepetalnice v aplikaciji za sporočanje Telegram, pri čemer se je maskiral v predstavnike družbe za kripto investicije in se pretvarjal, da razpravlja o provizijah za trgovanje z VIP strankami večjih borz.
Cilj je bil pretentati sklade za kripto naložbe v prenos datoteke Excel. Ta datoteka vsebuje natančne informacije o strukturah provizij večjih borz kriptovalut. Po drugi strani pa ima zlonamerni makro, ki v ozadju izvaja drug Excelov list. S tem ta zlobni akter pridobi oddaljen dostop do okuženega sistema žrtve.
Microsoft pojasnjeno: "Glavni list v datoteki Excel je zaščiten z zmajem gesla, da spodbudi cilj, da omogoči makre." Dodali so: »List je nato nezaščiten po namestitvi in zagonu druge Excelove datoteke, shranjene v Base64. To se verjetno uporablja za pretentanje uporabnika, da omogoči makre in ne vzbudi suma.«
Po poročanju je avgusta cryptocurrency rudarska zlonamerna programska oprema je okužila več kot 111,000 uporabnikov.
Obveščevalni podatki o grožnjah povezujejo DEV-0139 s severnokorejsko skupino groženj Lazarus.
Skupaj z zlonamerno makro datoteko Excel je DEV-0139 dostavil tudi koristni tovor kot del te zvijače. To je paket MSI za aplikacijo CryptoDashboardV2, ki izplača enako motnjo. Zaradi tega je več obveščevalnih podatkov nakazovalo, da stojijo tudi za drugimi napadi, ki uporabljajo isto tehniko za potiskanje uporabnih obremenitev po meri.
Pred nedavnim odkritjem DEV-0139 so bili drugi podobni napadi z lažnim predstavljanjem, za katere so nekatere skupine za obveščanje o grožnjah domnevale, da bi lahko delovali z DEV-0139.
Podjetje za obveščanje o grožnjah Volexity je prav tako objavilo svoje ugotovitve o tem napadu čez vikend in ga povezalo z Severnokorejski Lazar skupina groženj.
Glede na Volexity, severnokorejski hekerji uporabite podobne preglednice za primerjavo provizij za kripto menjavo, da odstranite zlonamerno programsko opremo AppleJeus. To so uporabili pri ugrabitvi kriptovalut in operacijah kraje digitalnih sredstev.
Volexity je prav tako odkril Lazarusa z uporabo klona spletnega mesta za avtomatizirano platformo za kripto trgovanje HaasOnline. Distribuirajo trojanizirano aplikacijo Bloxholder, ki bi namesto tega uvedla zlonamerno programsko opremo AppleJeus, vključeno v aplikacijo QTBitcoinTrader.
Skupina Lazarus je skupina kibernetskih groženj, ki deluje v Severni Koreji. Aktiven je približno od leta 2009. Razvpit je po napadih na odmevne cilje po vsem svetu, vključno z bankami, medijskimi organizacijami in vladnimi agencijami.
Skupina naj bi bila tudi odgovorna za vdor v Sony Pictures leta 2014 in napad z izsiljevalsko programsko opremo WannaCry leta 2017.
Vir: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/