Microsoft teatab, et on tuvastatud ohutegureid, kes on sihikuid krüptovaluutasse investeerivaid idufirmasid. Osapool, mille Microsoft on nimetanud DEV-0139, kujutas endast Telegramis krüptoraha investeerimisfirmat ja kasutas Exceli faili, mis oli relvastatud hästi valmistatud pahavaraga, et nakatada süsteeme, millele seejärel kaugjuurdepääs sai.
Oht on osa rünnakute suundumusest, mis näitab kõrget keerukust. Sel juhul liitus ohustaja, kes identifitseeris end ekslikult OKX-i töötajate võltsprofiilidega, Telegrami gruppidega, mida "kasutatakse VIP-klientide ja krüptovaluutavahetusplatvormide vahelise suhtluse hõlbustamiseks", Microsoft kirjutas 6. detsembri blogipostituses. Microsoft selgitas:
"Näeme […] keerukamaid rünnakuid, mille puhul ohus osaleja näitab üles suuri teadmisi ja ettevalmistust ning astub samme sihtmärgi usalduse võitmiseks enne kasulike koormate kasutuselevõttu."
Oktoobris kutsuti sihtmärk liituma uue grupiga ja seejärel küsiti tagasisidet Exceli dokumendi kohta, milles võrreldi OKX, Binance ja Huobi VIP tasustruktuure. Dokument andis täpset teavet ja kõrget teadlikkust krüptokaubanduse tegelikkusest, kuid see laadis ka nähtamatult kõrvale pahatahtliku .dll (Dynamic Link Library) faili, et luua kasutaja süsteemi tagauks. Seejärel paluti sihtmärgil tasude üle arutlemise käigus ise .dll-fail avada.
KRDV kurikuulus Lazarus Group on välja töötanud uued ja täiustatud versioonid oma krüptovaluutat varastavast pahavarast AppleJeus, mis tähistab režiimi viimast katset koguda raha Kim Jong-uni relvaprogrammide jaoks. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea juhataja (@CSISKoreaChair) Detsember 6, 2022
Rünnakutehnika ise on ammu teada. Microsoft pakkus, et ohutegur oli sama, kes leiti juunis sarnastel eesmärkidel .dll-faile kasutanud ja tõenäoliselt oli see ka teiste juhtumite taga. Microsofti sõnul on DEV-0139 sama tegutseja, kes küberjulgeolekufirma Volexity seotud Põhja-Korea riiklikult toetatavale Lazarus Groupile, kasutades AppleJeuse nime all tuntud pahavara varianti ja MSI-d (Microsofti installer). Ameerika Ühendriikide föderaalne küberturvalisuse ja infrastruktuuri turvaamet dokumenteeritud AppleJeus 2021. aastal ja Kaspersky Labs teatatud sellel aastal 2020.
Seotud: Väidetavalt Ronini silla häkkimise taga on Põhja-Korea Lazarus Group
USA rahandusministeerium on ametlikult ühendatud Lazarus Group Põhja-Korea tuumarelvaprogrammi.
Allikas: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick