Microsoft паведамляе, што быў ідэнтыфікаваны акцёр пагрозы, накіраваны на стартапы, якія займаюцца інвестыцыямі ў криптовалюту. Група, якую Microsoft назвала DEV-0139, выдавала сябе за криптовалютную інвестыцыйную кампанію ў Telegram і выкарыстала файл Excel, узброены «добра прадуманай» шкоднаснай праграмай, для заражэння сістэм, да якіх потым атрымлівала аддалены доступ.
Пагроза з'яўляецца часткай тэндэнцыі нападаў, якія паказваюць высокі ўзровень выдасканаленасці. У гэтым выпадку акцёр пагрозы, ілжыва ідэнтыфікуючы сябе з падробленымі профілямі супрацоўнікаў OKX, далучыўся да груп Telegram, якія «выкарыстоўваюцца для палягчэння сувязі паміж VIP-кліентамі і платформамі абмену крыптавалют», Microsoft. пісаў у паведамленні ў блогу ад 6 снежня. Microsoft патлумачыла:
«Мы […] бачым больш складаныя атакі, у якіх удзельнік пагрозы дэманструе вялікія веды і падрыхтоўку, прымаючы меры, каб заваяваць давер сваёй мэты, перш чым разгортваць карысныя нагрузкі».
У кастрычніку мэта запрасілі далучыцца да новай групы, а затым папрасілі даць водгук аб дакуменце Excel, у якім параўноўваліся структуры VIP-камісій OKX, Binance і Huobi. У дакуменце прадстаўлена дакладная інфармацыя і высокая дасведчанасць аб рэальнасці крыптагандлю, але ён таксама незаўважна загрузіў шкоднасны файл .dll (Dynamic Link Library), каб стварыць бэкдор у сістэму карыстальніка. Затым у ходзе абмеркавання тарыфаў ахвяру папрасілі самастойна адкрыць файл .dll.
Сумна вядомая Lazarus Group КНДР распрацавала новыя і палепшаныя версіі сваёй шкоднаснай праграмы AppleJeus для крадзяжу крыптавалюты, адзначаючы апошнюю спробу рэжыму сабраць сродкі для праграм Кім Чэн Ына па стварэнні зброі. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Карэйская старшыня CSIS (@CSISKoreaChair) Снежань 6, 2022
Сама тэхніка атакі даўно вядома. Microsoft выказала здагадку, што акцёр пагрозы быў такім жа, як і той, хто быў знойдзены з выкарыстаннем файлаў .dll для падобных мэтаў у чэрвені, і гэта, верагодна, стаіць за іншымі інцыдэнтамі. Па дадзеных Microsoft, DEV-0139 з'яўляецца тым самым акцёрам, што і фірма па кібербяспецы Volexity звязаны у паўночнакарэйскую дзяржаўную групу Lazarus Group, выкарыстоўваючы варыянт шкоднаснага ПЗ, вядомы як AppleJeus, і MSI (ўсталёўнік Microsoft). Федэральнае агенцтва ЗША па кібербяспецы і бяспецы інфраструктуры дакументаваны AppleJeus у 2021 годзе і Лабараторыя Касперскага паведамляецца на ім у 2020 годзе.
Па тэме: Паўночнакарэйская кампанія Lazarus Group нібыта стаіць за ўзломам моста Ронін
Міністэрства фінансаў ЗША афіцыйна падключыўся Lazarus Group да праграмы ядзернай зброі Паўночнай Карэі.
Крыніца: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick