Microsofti turbeosakond a Pressiteade eile, 6. detsembril avastas rünnak, mis oli suunatud krüptoraha idufirmadele. Nad saavutasid usalduse Telegrami vestluse kaudu ja saatsid Exceli pealkirjaga "OKX Binance ja Huobi VIP tasu võrdlus.xls", mis sisaldas pahatahtlikku koodi, mis pääses kaugjuurdepääsu ohvri süsteemile.
Turvaohu luuremeeskond on jälginud ohutegijat nimega DEV-0139. Häkker suutis tungida sõnumsiderakenduse Telegrami vestlusgruppidesse, maskeerides end krüptoinvesteeringute ettevõtte esindajateks ja teeseldes, et arutleb suurte börside VIP-klientidega kauplemistasude üle.
Eesmärk oli meelitada krüptoinvesteerimisfonde Exceli faili alla laadima. See fail sisaldab täpset teavet suuremate krüptovaluutabörside tasude struktuuride kohta. Teisest küljest on sellel pahatahtlik makro, mis käivitab taustal teise Exceli lehe. Sellega saab see halb näitleja kaugjuurdepääsu ohvri nakatunud süsteemile.
Microsoft selgitas: "Exceli faili põhileht on kaitstud paroolidraakoniga, et julgustada sihtmärki makrosid lubama." Nad lisasid: "Pärast Base64-sse salvestatud muu Exceli faili installimist ja käivitamist on leht kaitsmata. Seda kasutatakse tõenäoliselt kasutaja petmiseks makrode lubamiseks ja kahtluste äratamiseks.
Aruannete kohaselt augustis cryptocurrency pahavara kaevandamise kampaania nakatas üle 111,000 XNUMX kasutaja.
Ohu luure ühendab DEV-0139 Põhja-Korea ohurühmaga Lazarus.
Koos pahatahtliku makro-Exceli failiga edastas DEV-0139 selle pettuse osana ka kasuliku koormuse. See on CryptoDashboardV2 rakenduse MSI pakett, mis maksab samasuguse tõrjumise. See oli pannud mitmed luureandmed viitama sellele, et nad on ka teiste rünnakute taga, kasutades kohandatud kasulike koormate edastamiseks sama tehnikat.
Enne DEV-0139 hiljutist avastamist oli esinenud ka teisi sarnaseid andmepüügirünnakuid, mille kohta mõned ohuluuremeeskonnad arvasid, et need võivad olla DEV-0139 töö.
Ka ohuluurefirma Volexity avaldas nädalavahetusel oma järeldused selle rünnaku kohta, seostades selle rünnakuga Põhja-Korea Lazarus ohurühm.
Volexity sõnul põhjakorealane häkkerid kasutage AppleJeuse pahavara eemaldamiseks sarnaseid pahatahtlike krüptovahetustasude võrdlustabeleid. Seda on nad kasutanud krüptoraha kaaperdamisel ja digitaalsete varade varguste operatsioonidel.
Volexity on avastanud ka Lazaruse, kasutades HaasOnline'i automatiseeritud krüptokauplemisplatvormi veebisaidi klooni. Nad levitavad Troojastatud Bloxholderi rakendust, mis juurutaks selle asemel QTBitcoinTraderi rakendusse kaasatud AppleJeuse pahavara.
Lazarus Group on Põhja-Koreas tegutsev küberohurühmitus. See on tegutsenud umbes 2009. aastast. See on kurikuulus kõrgetasemeliste sihtmärkide, sealhulgas pankade, meediaorganisatsioonide ja valitsusasutuste ründamise poolest kogu maailmas.
Rühmitust kahtlustatakse ka 2014. aasta Sony Picturesi häkkimise ja 2017. aasta WannaCry lunavararünnaku eest.
Allikas: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/