Мицрософт извештава да је идентификован актер претње који циља на стартап компаније за улагања у криптовалуте. Странка коју је Мицрософт назвао ДЕВ-0139 представљала се као компанија за улагање у криптовалуте на Телеграму и користила је Екцел датотеку наоружану „добро израђеним“ малвером да зарази системе којима је потом даљински приступила.
Претња је део тренда у нападима који показују висок ниво софистицираности. У овом случају, актер претње, лажно се идентификујући са лажним профилима запослених у ОККС-у, придружио се Телеграм групама које су „користиле да олакшају комуникацију између ВИП клијената и платформи за размену криптовалута“, Мајкрософт. wrote (написано) у блог посту од 6. децембра. Мицрософт је објаснио:
„Ми […] видимо сложеније нападе у којима актер претње показује велико знање и припремљеност, предузимајући кораке да задобије поверење своје мете пре него што примени терет.“
У октобру је циљ био позван да се придружи новој групи, а затим је затражио повратну информацију о Екцел документу који је упоредио ОККС, Бинанце и Хуоби ВИП структуре накнада. Документ је пружио тачне информације и високу свест о стварности крипто трговања, али је такође невидљиво учитао злонамерну .длл (Динамиц Линк Либрари) датотеку да би направио бацкдоор у систему корисника. Од мете је затим затражено да сама отвори .длл датотеку током дискусије о накнадама.
Злогласна група Лазарус из ДНРК-а развила је нове и побољшане верзије свог малвера АпплеЈеус за крађу криптовалута, означавајући најновији покушај режима да прикупи средства за програме наоружања Ким Џонг-уна. @нкневсорг @ЕтханЈевелл https://t.co/LjimOmPI5s
— ЦСИС Кореа Цхаир (@ЦСИСКореаЦхаир) Декабрь 6, 2022
Сама техника напада одавно је познато. Мицрософт је сугерисао да је актер претње исти као онај који је пронађен користећи .длл датотеке за сличне сврхе у јуну, а то је вероватно и иза других инцидената. Према Мицрософт-у, ДЕВ-0139 је исти актер као и фирма за сајбер безбедност Волекити повезан Севернокорејској Лазарус групи коју спонзорише држава, користећи варијанту малвера познату као АпплеЈеус и МСИ (Мицрософт инсталатер). Федерална агенција Сједињених Држава за сајбер безбедност и безбедност инфраструктуре документовано АпплеЈеус 2021. и Касперски Лабс пријавио на њему 2020.
Релатед: Севернокорејска група Лазарус наводно стоји иза хаковања на Ронин мост
Министарство финансија САД се званично повезао Лазарус група за програм нуклеарног наоружања Северне Кореје.
Извор: хттпс://цоинтелеграпх.цом/невс/нортх-кореан-лазарус-гроуп-ис-таргетинг-црипто-фундс-витх-а-нев-спин-он-ан-олд-трицк