Северокорейская Lazarus Group нацелена на криптовалютные фонды, используя старый трюк

Microsoft сообщает, что был выявлен злоумышленник, нацеленный на стартапы, занимающиеся инвестициями в криптовалюту. Сторона, которую Microsoft назвала DEV-0139, выдавала себя за криптовалютную инвестиционную компанию в Telegram и использовала файл Excel, оснащенный «хорошо созданным» вредоносным ПО, для заражения систем, к которым она затем получила удаленный доступ.

Эта угроза является частью тенденции атак, демонстрирующих высокий уровень сложности. В этом случае субъект угрозы, ложно идентифицируя себя с поддельными профилями сотрудников OKX, присоединился к группам Telegram, «используемым для облегчения связи между VIP-клиентами и платформами обмена криптовалютами», — написала Microsoft в своем блоге 6 декабря. Майкрософт объяснил:

«Мы […] наблюдаем более сложные атаки, в которых субъект угрозы демонстрирует большие знания и подготовку, предпринимая шаги, чтобы завоевать доверие своей цели, прежде чем развертывать полезные нагрузки».

В октябре цель была приглашена присоединиться к новой группе, а затем ее попросили оставить отзыв о документе Excel, в котором сравнивались структуры комиссий OKX, Binance и Huobi VIP. Документ предоставил точную информацию и высокую осведомленность о реальности торговли криптовалютой, но он также незаметно загрузил вредоносный файл .dll (Dynamic Link Library) для создания бэкдора в системе пользователя. Затем цель попросили открыть файл .dll самостоятельно в ходе обсуждения сборов.

https://platform.twitter.com/widgets.js

Сама техника нападения давно известна. Microsoft предположила, что субъект угрозы был тем же, кто использовал файлы .dll для аналогичных целей в июне, и это, вероятно, также стояло за другими инцидентами. По данным Microsoft, DEV-0139 — это тот же субъект, которого фирма по кибербезопасности Volexity связала с спонсируемой государством Северной Кореей Lazarus Group, используя вариант вредоносного ПО, известного как AppleJeus, и MSI (установщик Microsoft). Федеральное агентство США по кибербезопасности и безопасности инфраструктуры задокументировало AppleJeus в 2021 году, а «Лаборатория Касперского» сообщила об этом в 2020 году.

По теме: Северокорейская группа Lazarus предположительно стоит за взломом Ronin Bridge

Министерство финансов США официально подключило Lazarus Group к ядерной программе Северной Кореи.