Microsoft raportează că a fost identificat un actor de amenințare care vizează startup-urile de investiții în criptomonede. Un partid numit de Microsoft DEV-0139 s-a prezentat drept o firmă de investiții în criptomonede pe Telegram și a folosit un fișier Excel înarmat cu malware „bine creat” pentru a infecta sistemele pe care apoi le-a accesat de la distanță.
Amenințarea face parte dintr-o tendință de atacuri care prezintă un nivel ridicat de sofisticare. În acest caz, actorul amenințărilor, identificându-se în mod fals cu profiluri false ale angajaților OKX, s-a alăturat grupurilor Telegram „folosite pentru a facilita comunicarea între clienții VIP și schimburile de criptomonede”, Microsoft. a scris într-o postare pe blog din 6 decembrie. Microsoft a explicat:
“Noi suntem […] văzând atacuri mai complexe în care actorul amenințării dă dovadă de cunoștințe și pregătire deosebită, luând măsuri pentru a câștiga încrederea țintei înainte de a implementa încărcături utile.”
În octombrie, ținta a fost invitată să se alăture unui nou grup și apoi i-a cerut părerea despre un document Excel care compară structurile de taxe VIP ale OKX, Binance și Huobi. Documentul a oferit informații precise și o perspectivă ridicată asupra realității tranzacționării cu criptomonede, dar și a descărcat în mod invizibil un fișier .dll (Dynamic Link Library) rău intenționat pentru a crea o ușă secundară în sistemul utilizatorului. Ținta a fost apoi rugată să deschidă fișierul .dll în timpul discuției despre taxă.
Infamul Lazarus Group din RPDC a dezvoltat versiuni noi și îmbunătățite ale malware-ului său AppleJeus pentru furtul de criptomonede, marcând cea mai recentă încercare a regimului de a strânge fonduri pentru programele de arme ale lui Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Președintele CSIS Coreea (@CSISKoreaChair) 6 decembrie 2022
Tehnica atacului în sine este cunoscută de mult timp. Microsoft a sugerat că actorul amenințării a fost același care a fost găsit folosind fișiere .dll în scopuri similare în iunie și a fost probabil în spatele altor incidente. Potrivit Microsoft, DEV-0139 este același actor ca firma de securitate cibernetică Volexity legat către grupul Lazarus, sponsorizat de statul nord-coreean, folosind o variantă de malware cunoscută sub numele de AppleJeus și un MSI (Microsoft Installer). Agenția Federală pentru Securitate Cibernetică și Securitate a Infrastructurii din Statele Unite documentat AppleJeus în 2021 și Kaspersky Labs raportat pe el în 2020.
Înrudit: Grupul Lazarus din Coreea de Nord se presupune că în spatele podului Ronin Hack
Departamentul de Trezorerie al Statelor Unite a conectat oficial Grupul Lazarus la programul de arme nucleare al Coreei de Nord.
Source link
