Η Microsoft αναφέρει ότι έχει εντοπιστεί ένας παράγοντας απειλής που στοχεύει νεοφυείς επιχειρήσεις επενδύσεων σε κρυπτονομίσματα. Ένα συμβαλλόμενο μέρος της Microsoft ονόμασε το DEV-0139 που υποδύθηκε ως εταιρεία επενδύσεων κρυπτονομισμάτων στο Telegram και χρησιμοποίησε ένα αρχείο Excel εξοπλισμένο με «καλοσχεδιασμένο» κακόβουλο λογισμικό για να μολύνει συστήματα στα οποία στη συνέχεια είχε απομακρυσμένη πρόσβαση.
Η απειλή είναι μέρος μιας τάσης επιθέσεων που δείχνει υψηλό επίπεδο πολυπλοκότητας. Σε αυτήν την περίπτωση, ο παράγοντας απειλών, ταυτιζόμενος ψευδώς με ψεύτικα προφίλ υπαλλήλων της OKX, εντάχθηκε σε ομάδες Telegram "που χρησιμοποιούνται για τη διευκόλυνση της επικοινωνίας μεταξύ VIP πελατών και πλατφορμών ανταλλαγής κρυπτονομισμάτων", η Microsoft Έγραψε σε μια ανάρτηση ιστολογίου στις 6 Δεκεμβρίου. Η Microsoft εξήγησε:
«Βλέπουμε […] πιο περίπλοκες επιθέσεις όπου ο παράγοντας απειλής δείχνει μεγάλη γνώση και προετοιμασία, λαμβάνοντας μέτρα για να κερδίσει την εμπιστοσύνη του στόχου του πριν αναπτύξει ωφέλιμα φορτία».
Τον Οκτώβριο, ο στόχος προσκλήθηκε να συμμετάσχει σε μια νέα ομάδα και στη συνέχεια ζήτησε σχόλια σχετικά με ένα έγγραφο του Excel που συνέκρινε τις δομές τελών OKX, Binance και Huobi VIP. Το έγγραφο παρείχε ακριβείς πληροφορίες και υψηλή επίγνωση της πραγματικότητας των συναλλαγών κρυπτογράφησης, αλλά επίσης φόρτωσε αόρατα ένα κακόβουλο αρχείο .dll (Βιβλιοθήκη δυναμικής σύνδεσης) για να δημιουργήσει μια κερκόπορτα στο σύστημα του χρήστη. Στη συνέχεια ζητήθηκε από τον στόχο να ανοίξει ο ίδιος το αρχείο .dll κατά τη διάρκεια της συζήτησης για τα τέλη.
Το διαβόητο Lazarus Group της ΛΔΚ έχει αναπτύξει νέες και βελτιωμένες εκδόσεις του κακόβουλου λογισμικού AppleJeus που κλέβει κρυπτονομίσματα, σηματοδοτώντας την τελευταία προσπάθεια του καθεστώτος να συγκεντρώσει κεφάλαια για τα οπλικά προγράμματα του Κιμ Γιονγκ-ουν. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) Δεκέμβριος 6, 2022
Η ίδια η τεχνική επίθεσης είναι από καιρό γνωστό. Η Microsoft πρότεινε ότι ο παράγοντας απειλής ήταν ο ίδιος με αυτόν που βρέθηκε να χρησιμοποιεί αρχεία .dll για παρόμοιους σκοπούς τον Ιούνιο και ότι πιθανότατα βρισκόταν πίσω από άλλα περιστατικά επίσης. Σύμφωνα με τη Microsoft, ο DEV-0139 είναι ο ίδιος παράγοντας με την εταιρεία κυβερνοασφάλειας Volexity συνδέονται στον όμιλο Lazarus που χρηματοδοτείται από το κράτος της Βόρειας Κορέας, χρησιμοποιώντας μια παραλλαγή κακόβουλου λογισμικού γνωστή ως AppleJeus και ένα MSI (εγκατάσταση της Microsoft). Η Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Ηνωμένων Πολιτειών τεκμηριωμένη AppleJeus το 2021 και Kaspersky Labs αναφερθεί σε αυτό το 2020.
Συγγενεύων: Ο όμιλος Lazarus της Βόρειας Κορέας φέρεται να βρίσκεται πίσω από το hack Ronin Bridge
Το Υπουργείο Οικονομικών των ΗΠΑ έχει συνδεθεί επίσημα Lazarus Group στο πρόγραμμα πυρηνικών όπλων της Βόρειας Κορέας.
Πηγή: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick