Microsoft raporton se është identifikuar një aktor kërcënimi që synon startup-et e investimeve në kriptomonedha. Një parti që Microsoft e ka quajtur DEV-0139 ka pozuar si një kompani investimi në kriptomonedha në Telegram dhe ka përdorur një skedar Excel të armatosur me malware "të krijuar mirë" për të infektuar sistemet që më pas i ka akses nga distanca.
Kërcënimi është pjesë e një tendence në sulme që tregojnë një nivel të lartë të sofistikimit. Në këtë rast, aktori i kërcënimit, duke u identifikuar në mënyrë të rreme me profile të rreme të punonjësve të OKX, iu bashkua grupeve të Telegramit "të përdorura për të lehtësuar komunikimin midis klientëve VIP dhe platformave të shkëmbimit të kriptomonedhave", Microsoft. shkroi në një postim në blog të 6 dhjetorit. Microsoft shpjegoi:
"Ne po shohim sulme më komplekse ku aktori i kërcënimit tregon njohuri dhe përgatitje të madhe, duke ndërmarrë hapa për të fituar besimin e objektivit të tyre përpara se të vendosë ngarkesa."
Në tetor, objektivi u ftua të bashkohej me një grup të ri dhe më pas kërkoi reagime mbi një dokument Excel që krahasonte strukturat e tarifave OKX, Binance dhe Huobi VIP. Dokumenti siguroi informacion të saktë dhe ndërgjegjësim të lartë për realitetin e tregtimit të kriptove, por gjithashtu ngarkoi në mënyrë të padukshme një skedar me qëllim të keq .dll (Biblioteka e Lidhjeve Dinamike) për të krijuar një derë të pasme në sistemin e përdoruesit. Më pas objektivit iu kërkua të hapte vetë skedarin .dll gjatë diskutimit mbi tarifat.
Grupi famëkeq Lazarus i DPRK-së ka zhvilluar versione të reja dhe të përmirësuara të malware AppleJeus që vjedh kriptomonedha, duke shënuar përpjekjen e fundit të regjimit për të mbledhur fonde për programet e armëve të Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Kryetari i Koresë së CSIS (@CSISKoreaChair) Dhjetor 6, 2022
Vetë teknika e sulmit është njohur prej kohësh. Microsoft sugjeroi se aktori i kërcënimit ishte i njëjtë me atë të gjetur duke përdorur skedarë .dll për qëllime të ngjashme në qershor dhe që ndoshta qëndronte pas incidenteve të tjera gjithashtu. Sipas Microsoft, DEV-0139 është i njëjti aktor si firma e sigurisë kibernetike Volexity i lidhur te Grupi Lazarus i sponsorizuar nga shteti i Koresë së Veriut, duke përdorur një variant malware të njohur si AppleJeus dhe një MSI (instalues i Microsoft). Agjencia Federale e Shteteve të Bashkuara për Sigurinë Kibernetike dhe Sigurinë e Infrastrukturës dokumentuar AppleJeus në 2021 dhe Kaspersky Labs raportuar mbi të në vitin 2020.
Related: Grupi i Koresë së Veriut Lazarus dyshohet se qëndron pas hakimit të urës Ronin
Departamenti Amerikan i Thesarit është lidhur zyrtarisht Grupi Lazarus në programin e armëve bërthamore të Koresë së Veriut.
Burimi: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick