Microsoft izvještava da je identificiran akter prijetnje koji cilja startupe za ulaganja u kriptovalute. Stranka koju je Microsoft nazvao DEV-0139 predstavljala se kao kompanija za ulaganje u kriptovalute na Telegramu i koristila Excel datoteku naoružanu "dobro izrađenim" zlonamjernim softverom kako bi zarazila sisteme kojima je potom daljinski pristupila.
Prijetnja je dio trenda u napadima koji pokazuju visok nivo sofisticiranosti. U ovom slučaju, akter prijetnje, lažno se identificirajući s lažnim profilima zaposlenih u OKX-u, pridružio se Telegram grupama koje su „koristile da olakšaju komunikaciju između VIP klijenata i platformi za razmjenu kriptovaluta“, Microsoft napisao u blog postu od 6. decembra. Microsoft je objasnio:
“Mi […] vidimo složenije napade u kojima akter prijetnje pokazuje veliko znanje i pripremljenost, poduzimajući korake da zadobije povjerenje svoje mete prije nego što rasporedi teret.”
U oktobru je cilj bio pozvan da se pridruži novoj grupi, a zatim je zatražio povratnu informaciju o Excel dokumentu koji je upoređivao OKX, Binance i Huobi VIP strukture naknada. Dokument je pružio tačne informacije i visoku svijest o stvarnosti kripto trgovine, ali je također nevidljivo učitao zlonamjernu .dll (Dynamic Link Library) datoteku kako bi stvorio backdoor u korisnikov sistem. Od mete je zatim zatraženo da sama otvori .dll datoteku tokom rasprave o naknadama.
Zloglasna grupa Lazarus iz DNRK-a razvila je nove i poboljšane verzije svog zlonamjernog softvera za krađu kriptovaluta AppleJeus, obilježavajući posljednji pokušaj režima da prikupi sredstva za programe naoružanja Kim Jong-una. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) Decembar 6, 2022
Sama tehnika napada odavno je poznato. Microsoft je sugerirao da je akter prijetnje isti kao onaj koji je pronađen koristeći .dll fajlove za slične svrhe u junu, a to je vjerovatno i iza drugih incidenata. Prema Microsoftu, DEV-0139 je isti akter kao i firma za sajber sigurnost Volexity povezan Lazarus Grupi koju sponzoriše Severna Koreja, koristeći varijantu zlonamernog softvera poznatu kao AppleJeus i MSI (Microsoft instalater). Federalna agencija Sjedinjenih Država za sajber sigurnost i sigurnost infrastrukture dokumentovano AppleJeus 2021. i Kaspersky Labs prijavljeno na njemu 2020.
Povezano: Sjevernokorejska Lazarus Group navodno stoji iza hakovanja na Ronin Bridgeu
Ministarstvo finansija SAD se zvanično povezao Lazarus Group za program nuklearnog oružja Sjeverne Koreje.
Izvor: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick