Sigurnosno odjeljenje Microsofta, u a press release jučer, 6. decembra, otkrio je napad usmjeren na startupe kriptovaluta. Dobili su povjerenje putem Telegram chata i poslali Excel pod nazivom “OKX Binance and Huobi VIP fee compare.xls”, koji je sadržavao zlonamjerni kod koji je mogao daljinski pristupiti sistemu žrtve.
Tim za obavještavanje o sigurnosnim prijetnjama pratio je aktera prijetnje kao DEV-0139. Haker je bio u mogućnosti da se infiltrira u chat grupe na Telegramu, aplikaciji za razmjenu poruka, maskirajući se u predstavnike kriptoinvesticione kompanije i pretvarajući se da razgovara o naknadama za trgovanje sa VIP klijentima velikih berzi.
Cilj je bio prevariti kripto investicione fondove da preuzmu Excel fajl. Ova datoteka sadrži tačne informacije o strukturama naknada na glavnim burzama kriptovaluta. S druge strane, ima zlonamjerni makro koji pokreće drugi Excel list u pozadini. Ovim ovaj loš akter dobija daljinski pristup zaraženom sistemu žrtve.
Microsoft objasnio: "Glavni list u Excel datoteci je zaštićen lozinkom zmaj kako bi podstakao cilj da omogući makroe." Dodali su: „Tada je list nezaštićen nakon instalacije i pokretanja druge Excel datoteke pohranjene u Base64. Ovo se vjerovatno koristi da se prevari korisnik da omogući makroe i ne izaziva sumnju.”
Prema izvještajima, u avgustu je kriptovaluta Mining malware kampanja zarazila je više od 111,000 korisnika.
Obavještajni podaci o prijetnjama povezuju DEV-0139 sa sjevernokorejskom grupom prijetnji Lazarus.
Zajedno sa zlonamjernom makro datotekom Excel, DEV-0139 je također isporučio korisni teret kao dio ove trikove. Ovo je MSI paket za aplikaciju CryptoDashboardV2, koji isplaćuje istu nametljivost. Ovo je navelo nekoliko obavještajnih podataka da sugeriraju da oni također stoje iza drugih napada koji koriste istu tehniku za guranje prilagođenog tereta.
Prije nedavnog otkrića DEV-0139, bilo je i drugih sličnih phishing napada za koje su neki timovi za obavještajne službe pretpostavili da bi mogli biti funkcionisanje DEV-0139.
Kompanija Volexity za obavještavanje o prijetnjama također je objavila svoje nalaze o ovom napadu tokom vikenda, povezujući ga sa Severnokorejski Lazar pretnja grupa.
Prema Volexityju, sjevernokorejski hakeri koristite slične zlonamjerne proračunske tablice za usporedbu naknada za razmjenu kriptovaluta kako biste izbacili AppleJeus zlonamjerni softver. To je ono što su koristili u operacijama otmice kriptovaluta i krađe digitalne imovine.
Volexity je također otkrio Lazarusa koristeći klon web stranice za HaasOnline automatiziranu platformu za trgovanje kriptovalutama. Oni distribuiraju trojaniziranu aplikaciju Bloxholder koja bi umjesto toga implementirala AppleJeus zlonamjerni softver u paketu u aplikaciji QTBitcoinTrader.
Lazarus Group je grupa za sajber pretnje koja deluje u Severnoj Koreji. Aktivan je oko 2009. godine. Poznat je po napadima na mete visokog profila širom svijeta, uključujući banke, medijske organizacije i vladine agencije.
Grupa se takođe sumnjiči da je odgovorna za hakiranje kompanije Sony Pictures 2014. i napad ransomware-a WannaCry 2017. godine.
Izvor: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/