Падраздзяленне бяспекі Microsoft у а прэс-рэліз учора, 6 снежня, раскрылі атаку, накіраваную на криптовалютные стартапы. Яны заваявалі давер праз чат Telegram і адправілі Excel пад назвай «Параўнанне камісій OKX Binance і Huobi VIP.xls», які ўтрымліваў шкоднасны код, які мог атрымаць аддалены доступ да сістэмы ахвяры.
Група аператыўнай апрацоўкі пагроз бяспекі адсачыла ўдзельніка пагрозы як DEV-0139. Хакер змог пранікнуць у чат-групы ў Telegram, праграме абмену паведамленнямі, выдаючы сябе за прадстаўнікоў крыптаінвестыцыйнай кампаніі і робячы выгляд, што абмяркоўвае гандлёвыя зборы з VIP-кліентамі буйных біржаў.
Мэта складалася ў тым, каб прымусіць крыптаінвестыцыйныя фонды загрузіць файл Excel. Гэты файл змяшчае дакладную інфармацыю аб структурах збораў асноўных біржаў крыптавалют. З іншага боку, ён мае шкоднасны макрас, які запускае іншы ліст Excel у фонавым рэжыме. Дзякуючы гэтаму гэты дрэнны акцёр атрымлівае аддалены доступ да заражанай сістэмы ахвяры.
Microsoft патлумачыў: «Галоўны ліст у файле Excel абаронены паролем dragon, каб заахвоціць мэта ўключыць макрасы». Яны дадалі: «Пасля ўстаноўкі і запуску іншага файла Excel, які захоўваецца ў Base64, аркуш становіцца неабароненым. Верагодна, гэта выкарыстоўваецца, каб прымусіць карыстальніка ўключыць макрасы і не выклікаць падазрэнняў».
Па наяўных дадзеных, у жніўні ст криптовалюта Кампанія шкоднасных праграм для майнинга заразіла больш за 111,000 XNUMX карыстальнікаў.
Выведка пагроз злучае DEV-0139 з паўночнакарэйскай групай пагроз Lazarus.
Разам са шкоднасным макрас-файлам Excel DEV-0139 таксама даставіў карысную нагрузку ў рамках гэтага труку. Гэта пакет MSI для прыкладання CryptoDashboardV2, які аплачвае тое ж самае. Гэта прымусіла некаторыя разведвальныя дадзеныя выказаць здагадку, што яны таксама стаяць за іншымі атакамі з выкарыстаннем той жа тэхнікі для праштурхоўвання карыстацкіх карысных нагрузак.
Да нядаўняга адкрыцця DEV-0139 адбываліся іншыя падобныя фішынгавыя атакі, якія, на думку некаторых груп па выведцы пагроз, маглі быць прычынай DEV-0139.
Кампанія па выведцы пагроз Volexity таксама апублікавала свае высновы аб гэтай атацы ў мінулыя выхадныя, звязваючы яе з Паўночнакарэйскі Lazarus група пагрозы.
Паводле Volexity, паўночнакарэйскі хакеры выкарыстоўвайце аналагічныя шкоднасныя электронныя табліцы параўнання платы за крыптаабмен, каб пазбавіцца ад шкоднасных праграм AppleJeus. Гэта тое, што яны выкарыстоўвалі ў аперацыях па крадзяжы криптовалюты і лічбавых актываў.
Volexity таксама выявіла Lazarus з дапамогай клона вэб-сайта для аўтаматызаванай крыптагандлёвай платформы HaasOnline. Яны распаўсюджваюць траянізаванае прыкладанне Bloxholder, якое замест гэтага разгортвае шкоднаснае праграмнае забеспячэнне AppleJeus, уключанае ў дадатак QTBitcoinTrader.
Lazarus Group - гэта групоўка кіберпагроз, якая дзейнічае ў Паўночнай Карэі. Ён дзейнічае прыкладна з 2009 года. Ён сумна вядомы атакамі на вядомыя мэты па ўсім свеце, у тым ліку на банкі, медыя-арганізацыі і дзяржаўныя ўстановы.
Група таксама падазраецца ў адказнасці за ўзлом Sony Pictures у 2014 годзе і атаку праграм-вымагальнікаў WannaCry у 2017 годзе.
Крыніца: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/