Microsoft rapporterar att en hotaktör har identifierats som riktar in sig på nystartade investeringar i kryptovaluta. En part som Microsoft har kallat DEV-0139 utger sig för att vara ett investeringsbolag för kryptovaluta på Telegram och använt en Excel-fil som beväpnats med "välskapad" skadlig programvara för att infektera system som den sedan fjärråtkomst till.
Hotet är en del av en trend i attacker som visar en hög nivå av sofistikering. I det här fallet gick hotaktören, som felaktigt identifierade sig med falska profiler av OKX-anställda, anslöt sig till Telegram-grupper "som används för att underlätta kommunikation mellan VIP-klienter och kryptovalutautbytesplattformar", Microsoft skrev i ett blogginlägg den 6 december. Microsoft förklarade:
"Vi ser mer komplexa attacker där hotaktören visar stor kunskap och förberedelse och vidtar åtgärder för att vinna sitt måls förtroende innan de distribuerar nyttolaster."
I oktober bjöds målet in att gå med i en ny grupp och bad sedan om feedback på ett Excel-dokument som jämförde OKX, Binance och Huobi VIP-avgiftsstrukturer. Dokumentet gav korrekt information och hög medvetenhet om verkligheten av kryptohandel, men det laddade också osynligt en skadlig .dll-fil (Dynamic Link Library) för att skapa en bakdörr till användarens system. Målet ombads sedan att själva öppna .dll-filen under diskussionen om avgifter.
Nordkoreas ökända Lazarus Group har utvecklat nya och förbättrade versioner av sin kryptovaluta-stjälande malware AppleJeus, vilket markerar regimens senaste försök att samla in pengar till Kim Jong-uns vapenprogram. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) December 6, 2022
Själva attacktekniken har länge varit känt. Microsoft föreslog att hotaktören var densamma som den som hittades med .dll-filer för liknande ändamål i juni och det låg förmodligen också bakom andra incidenter. Enligt Microsoft är DEV-0139 samma aktör som cybersäkerhetsföretaget Volexity kopplade till Nordkoreas statligt sponsrade Lazarus Group, med hjälp av en variant av skadlig programvara känd som AppleJeus och ett MSI (Microsoft-installationsprogram). Förenta staternas federala Cybersecurity and Infrastructure Security Agency dokumenterat AppleJeus 2021 och Kaspersky Labs rapporterade på det 2020.
Relaterat: Den nordkoreanska Lazarus Group ska ha bakom hacket Ronin Bridge
USA: s finansdepartement har officiellt anslutit Lazarus Group till Nordkoreas kärnvapenprogram.
Källa: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick