Microsoft uvádza, že bol identifikovaný hroziaci aktér, ktorý sa zameriava na začínajúce podniky investujúce do kryptomien. Strana, ktorú Microsoft nazval DEV-0139, sa na telegrame vydával za kryptomenovú investičnú spoločnosť a použil excelový súbor vybavený „dobre vytvoreným“ malvérom na infikovanie systémov, ku ktorým potom vzdialene pristupoval.
Hrozba je súčasťou trendu útokov s vysokou úrovňou sofistikovanosti. V tomto prípade sa aktér hrozby, ktorý sa falošne identifikuje s falošnými profilmi zamestnancov OKX, pripojil k telegramovým skupinám „používaným na uľahčenie komunikácie medzi VIP klientmi a platformami na výmenu kryptomien“, Microsoft napísal v blogovom príspevku zo 6. decembra. Microsoft vysvetlil:
„Sme svedkami komplexnejších útokov, v ktorých aktér hrozby prejavuje veľké znalosti a pripravenosť a podniká kroky na získanie dôvery svojho cieľa pred nasadením užitočných dát.“
V októbri bola cieľová skupina pozvaná, aby sa pripojila k novej skupine, a následne požiadala o spätnú väzbu na dokument Excel, ktorý porovnával štruktúry VIP poplatkov OKX, Binance a Huobi. Dokument poskytoval presné informácie a vysoké povedomie o realite obchodovania s kryptomenami, no zároveň neviditeľne stiahol škodlivý súbor .dll (Dynamic Link Library), aby vytvoril zadné vrátka do systému používateľa. Cieľ bol potom požiadaný, aby si sám otvoril súbor .dll počas diskusie o poplatkoch.
Neslávne známa skupina Lazarus v KĽDR vyvinula nové a vylepšené verzie svojho malvéru AppleJeus na kradnutie kryptomien, čo znamená posledný pokus režimu získať prostriedky na zbrojné programy Kim Čong-una. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— predseda CSIS Kórea (@CSISKoreaChair) Decembra 6, 2022
Samotná technika útoku je už dávno známy. Microsoft navrhol, že aktér hrozby bol rovnaký ako ten, ktorý bol nájdený pomocou súborov .dll na podobné účely v júni a pravdepodobne stál aj za ďalšími incidentmi. Podľa spoločnosti Microsoft je DEV-0139 tým istým aktérom ako spoločnosť Volexity v oblasti kybernetickej bezpečnosti spojené do severokórejskej štátom podporovanej skupiny Lazarus Group pomocou variantu malvéru známeho ako AppleJeus a MSI (Inštalačný program Microsoftu). Americká federálna agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry zdokumentované AppleJeus v roku 2021 a Kaspersky Labs hlásené na ňom v roku 2020.
Súvisiace: Severokórejská skupina Lazarus údajne stojí za hackom Ronin Bridge
Ministerstvo financií USA sa oficiálne pripojil Lazarus Group k severokórejskému programu jadrových zbraní.
Zdroj: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick