Корпорація Майкрософт повідомляє, що виявлено загрозу, націлену на стартапи, що займаються інвестиціями в криптовалюту. Сторона, яку Microsoft охрестила DEV-0139, видавала себе за криптовалютну інвестиційну компанію в Telegram і використовувала файл Excel, озброєний «добре створеним» шкідливим програмним забезпеченням, для зараження систем, до яких потім отримувала віддалений доступ.
Ця загроза є частиною тенденції атак із високим рівнем витонченості. У цьому випадку зловмисник, фальшиво ідентифікуючи себе за допомогою підроблених профілів співробітників OKX, приєднався до груп Telegram, які «використовуються для полегшення спілкування між VIP-клієнтами та платформами обміну криптовалютою», Microsoft. пише у дописі в блозі від 6 грудня. Microsoft пояснила:
«Ми […] бачимо більш складні атаки, під час яких суб’єкт загрози демонструє великі знання та підготовку, вживаючи заходів, щоб завоювати довіру своєї цілі перед розгортанням корисного навантаження».
У жовтні цільову групу запросили приєднатися до нової групи, а потім попросили надіслати відгук про документ Excel, у якому порівнювалися структури гонорарів OKX, Binance та Huobi VIP. Документ надав точну інформацію та високу обізнаність про реальність криптотрейдингу, але також непомітно завантажив шкідливий файл .dll (Dynamic Link Library), щоб створити бекдор у систему користувача. Потім під час обговорення гонорарів жертву попросили самостійно відкрити файл .dll.
Сумно відома група Lazarus Group у КНДР розробила нові та покращені версії свого шкідливого програмного забезпечення AppleJeus для крадіжки криптовалюти, що стало останньою спробою режиму зібрати кошти для збройових програм Кім Чен Ина. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Голова CSIS Korea (@CSISKoreaChair) 6 Грудня, 2022
Сама техніка атаки давно відомий. Корпорація Майкрософт припустила, що загроза була такою ж, як і та, що була виявлена за допомогою файлів .dll для подібних цілей у червні, і це, ймовірно, також було причиною інших інцидентів. За даними Microsoft, DEV-0139 є тим самим актором, що й компанія з кібербезпеки Volexity пов'язаний для спонсорованої державою Північної Кореї групи Lazarus, використовуючи варіант шкідливого програмного забезпечення, відомого як AppleJeus, і MSI (інсталятор Microsoft). Федеральне агентство з кібербезпеки та безпеки інфраструктури США документований AppleJeus у 2021 році та Лабораторія Касперського повідомляє на ньому в 2020 році.
За темою: Північнокорейська Lazarus Group нібито стоїть за зломом мосту Ронін
Міністерство фінансів США офіційно підключився Lazarus Group до програми ядерної зброї Північної Кореї.
Джерело: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick