De Lazarus-groep, een Noord-Koreaanse hackorganisatie die eerder in verband werd gebracht met criminele activiteiten, is verbonden met een nieuw aanvalsplan om systemen te doorbreken en cryptocurrency van derden te stelen. De campagne, die een aangepaste versie gebruikt van een reeds bestaand malwareproduct genaamd Applejeus, gebruikt een cryptosite en zelfs documenten om toegang te krijgen tot systemen.
Gewijzigde Lazarus-malware gebruikte crypto-site als gevel
Volexity, een in Washington DC gevestigd cyberbeveiligingsbedrijf, heeft Lazarus, een Noord-Koreaanse hackgroep die al is gesanctioneerd door de Amerikaanse regering, in verband gebracht met een dreiging waarbij een crypto-site wordt gebruikt om systemen te infecteren om informatie en cryptocurrency van derden te stelen.
Een blogpost uitgegeven op 1 december onthulde dat Lazarus in juni een domein registreerde met de naam "bloxholder.com", dat later zou worden opgericht als een bedrijf dat diensten aanbiedt voor automatische handel in cryptocurrency. Door deze site als façade te gebruiken, vroeg Lazarus gebruikers om een applicatie te downloaden die diende als een payload om de Applejeus-malware te leveren, gericht op het stelen van privésleutels en andere gegevens van de systemen van de gebruikers.
Dezelfde strategie is eerder door Lazarus gebruikt. Dit nieuwe schema maakt echter gebruik van een techniek waarmee de toepassing malwaredetectietaken kan "verwarren en vertragen".
Documenteer macro's
Volexity ontdekte ook dat de techniek om deze malware aan eindgebruikers te leveren in oktober is veranderd. De methode veranderde om Office-documenten te gebruiken, met name een spreadsheet met macro's, een soort programma ingebed in de documenten dat is ontworpen om de Applejeus-malware op de computer te installeren.
Het document, geïdentificeerd met de naam "OKX Binance & Huobi VIP fee comparision.xls", toont de voordelen die elk van de VIP-programma's van deze uitwisselingen zogenaamd biedt op hun verschillende niveaus. Om dit soort aanvallen te beperken, wordt aanbevolen om de uitvoering van macro's in documenten te blokkeren en ook om het maken van nieuwe taken in het besturingssysteem nauwkeurig te onderzoeken en te controleren om op de hoogte te zijn van nieuwe niet-geïdentificeerde taken die op de achtergrond worden uitgevoerd. Veloxity informeerde echter niet over het bereik dat deze campagne heeft bereikt.
Lazarus was formeel aangeklaagd door het Amerikaanse ministerie van Justitie (DOJ) in februari 2021, waarbij een medewerker betrokken was van de groep die banden heeft met een Noord-Koreaanse inlichtingenorganisatie, het Reconnaissance General Bureau (RGB). Daarvoor, in maart 2020, heeft de DOJ aangeklaagd twee Chinese staatsburgers voor hulp bij het witwassen van meer dan $ 100 miljoen aan cryptocurrency die verband houdt met de exploits van Lazarus.
Wat vind je van de nieuwste cryptocurrency-malwarecampagne van Lazarus? Vertel het ons in de comments hieronder.
Beeldkredieten: Shutterstock, Pixabay, Wiki Commons
Disclaimer: Dit artikel is alleen voor informatieve doeleinden. Het is geen direct aanbod of verzoek tot een aanbod om te kopen of verkopen, of een aanbeveling of goedkeuring van producten, diensten of bedrijven. Bitcoin.com geeft geen beleggings-, belasting-, juridische of boekhoudkundige adviezen. Noch het bedrijf, noch de auteur is verantwoordelijk, direct of indirect, voor enige schade of verlies veroorzaakt of vermeend veroorzaakt te zijn door of in verband met het gebruik van of vertrouwen op enige inhoud, goederen of diensten genoemd in dit artikel.
Bron: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/