Microsoft сообщает, что был выявлен злоумышленник, нацеленный на стартапы, занимающиеся инвестициями в криптовалюту. Сторона, которую Microsoft назвала DEV-0139, выдавала себя за криптовалютную инвестиционную компанию в Telegram и использовала файл Excel, оснащенный «хорошо созданным» вредоносным ПО, для заражения систем, к которым она затем получила удаленный доступ.
Эта угроза является частью тенденции атак, демонстрирующих высокий уровень сложности. В этом случае злоумышленник, ложно идентифицируя себя с поддельными профилями сотрудников OKX, присоединился к группам Telegram, «используемым для облегчения связи между VIP-клиентами и платформами обмена криптовалютами», Microsoft писал в сообщении в блоге от 6 декабря. Майкрософт объяснил:
«Мы [...] наблюдаем более сложные атаки, в которых субъект угрозы демонстрирует большие знания и подготовку, предпринимая шаги, чтобы завоевать доверие своей цели, прежде чем развертывать полезные нагрузки».
В октябре цель была приглашена присоединиться к новой группе, а затем ее попросили оставить отзыв о документе Excel, в котором сравнивались структуры комиссий OKX, Binance и Huobi VIP. Документ предоставил точную информацию и высокую осведомленность о реальности криптотрейдинга, но он также незаметно загрузил вредоносный файл .dll (библиотека динамической компоновки) для создания бэкдора в системе пользователя. Затем цель попросили открыть файл .dll самостоятельно в ходе обсуждения сборов.
Печально известная группа Lazarus из КНДР разработала новые и улучшенные версии своего вредоносного ПО для кражи криптовалюты AppleJeus, что стало последней попыткой режима собрать средства для оружейных программ Ким Чен Ына. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Председатель CSIS в Корее (@CSISKoreaChair) 6 декабря 2022
Сама техника атаки давно известно. Microsoft предположила, что субъект угрозы был тем же, кто использовал файлы .dll для аналогичных целей в июне, и это, вероятно, также стояло за другими инцидентами. По данным Microsoft, DEV-0139 — это тот же актер, что и фирма Volexity, занимающаяся кибербезопасностью. связанный спонсируемой государством Северной Кореи Lazarus Group, используя разновидность вредоносного ПО, известную как AppleJeus, и MSI (установщик Microsoft). Федеральное агентство США по кибербезопасности и безопасности инфраструктуры документированный AppleJeus в 2021 году и «Лаборатория Касперского» переправу на нем в 2020 году.
Связанный: Северокорейская Lazarus Group предположительно стоит за взломом Ronin Bridge
Отдел казначейства США официально подключил Lazarus Group в ядерной программе Северной Кореи.
Источник: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick.