Microsoft сообщает, что был выявлен злоумышленник, нацеленный на стартапы, занимающиеся инвестициями в криптовалюту. Сторона, которую Microsoft назвала DEV-0139, выдавала себя за криптовалютную инвестиционную компанию в Telegram и использовала файл Excel, оснащенный «хорошо созданным» вредоносным ПО, для заражения систем, к которым она затем получила удаленный доступ.
Эта угроза является частью тенденции атак, демонстрирующих высокий уровень сложности. В этом случае субъект угрозы, ложно идентифицируя себя с поддельными профилями сотрудников OKX, присоединился к группам Telegram, «используемым для облегчения связи между VIP-клиентами и платформами обмена криптовалютами», — написала Microsoft в своем блоге 6 декабря. Майкрософт объяснил:
«Мы […] наблюдаем более сложные атаки, в которых субъект угрозы демонстрирует большие знания и подготовку, предпринимая шаги, чтобы завоевать доверие своей цели, прежде чем развертывать полезные нагрузки».
В октябре цель была приглашена присоединиться к новой группе, а затем ее попросили оставить отзыв о документе Excel, в котором сравнивались структуры комиссий OKX, Binance и Huobi VIP. Документ предоставил точную информацию и высокую осведомленность о реальности торговли криптовалютой, но он также незаметно загрузил вредоносный файл .dll (Dynamic Link Library) для создания бэкдора в системе пользователя. Затем цель попросили открыть файл .dll самостоятельно в ходе обсуждения сборов.
https://platform.twitter.com/widgets.js
Сама техника нападения давно известна. Microsoft предположила, что субъект угрозы был тем же, кто использовал файлы .dll для аналогичных целей в июне, и это, вероятно, также стояло за другими инцидентами. По данным Microsoft, DEV-0139 — это тот же субъект, которого фирма по кибербезопасности Volexity связала с спонсируемой государством Северной Кореей Lazarus Group, используя вариант вредоносного ПО, известного как AppleJeus, и MSI (установщик Microsoft). Федеральное агентство США по кибербезопасности и безопасности инфраструктуры задокументировало AppleJeus в 2021 году, а «Лаборатория Касперского» сообщила об этом в 2020 году.
По теме: Северокорейская группа Lazarus предположительно стоит за взломом Ronin Bridge
Министерство финансов США официально подключило Lazarus Group к ядерной программе Северной Кореи.
По сообщениям источников, знакомых с вопросом, Министерство юстиции США (DOJ) назначило международную консалтинговую фирму Forensic…
Комиссия по ценным бумагам и биржам США (SEC) выступила против запроса криптовалютной биржи Coinbase о…
Инвестор-миллиардер Марк Кьюбан призвал Комиссию по торговле товарными фьючерсами (CFTC) взять на себя ответственность за…
Американская финансовая компания JPMorgan Chase раскрыла информацию об инвестициях в биржевые фонды Биткоин (BTC), предлагаемые…
Злоумышленник, подтасовывающий адрес, который обманом заставил пользователя отправить ему 1155 Wrapped Bitcoin (wBTC) (стоимостью 68…
Законодатели из Комитета по финансовым услугам Палаты представителей США объявили, что готовятся к полному голосованию…