De beveiligingsdivisie van Microsoft, in a persbericht gisteren, 6 december, ontdekte een aanval gericht op cryptocurrency-startups. Ze wonnen vertrouwen via Telegram-chat en stuurden een Excel met de titel "OKX Binance en Huobi VIP-fee-vergelijking.xls", die kwaadaardige code bevatte die op afstand toegang kon krijgen tot het systeem van het slachtoffer.
Het Security Threat Intelligence-team heeft de bedreigingsactor gevolgd als DEV-0139. De hacker was in staat om chatgroepen op Telegram, de berichten-app, te infiltreren, waarbij hij zich voordeed als vertegenwoordigers van een crypto-investeringsmaatschappij en deed alsof hij handelskosten besprak met VIP-klanten van grote beurzen.
Het doel was om crypto-investeringsfondsen te misleiden om een Excel-bestand te downloaden. Dit bestand bevat nauwkeurige informatie over de vergoedingsstructuren van grote cryptocurrency-uitwisselingen. Aan de andere kant heeft het een kwaadaardige macro die een ander Excel-blad op de achtergrond uitvoert. Hiermee krijgt deze kwaadwillende op afstand toegang tot het geïnfecteerde systeem van het slachtoffer.
Microsoft legde uit: "Het hoofdblad in het Excel-bestand is beveiligd met de wachtwoorddraak om het doelwit aan te moedigen de macro's in te schakelen." Ze voegden eraan toe: “Het blad is dan onbeschermd na het installeren en uitvoeren van het andere Excel-bestand dat is opgeslagen in Base64. Dit wordt waarschijnlijk gebruikt om de gebruiker te misleiden om macro's in te schakelen en geen argwaan te wekken."
Volgens rapporten, in augustus, de cryptogeld mining-malwarecampagne infecteerde meer dan 111,000 gebruikers.
Bedreigingsinformatie verbindt DEV-0139 met de Noord-Koreaanse Lazarus-dreigingsgroep.
Samen met het schadelijke macro-Excel-bestand leverde DEV-0139 ook een payload als onderdeel van deze truc. Dit is een MSI-pakket voor een CryptoDashboardV2-app, dat dezelfde opdringerigheid uitbetaalt. Dit had verschillende inlichtingen doen vermoeden dat ze ook achter andere aanvallen zaten die dezelfde techniek gebruikten om aangepaste payloads te pushen.
Vóór de recente ontdekking van DEV-0139 waren er andere soortgelijke phishing-aanvallen waarvan sommige bedreigingsintelligentieteams suggereerden dat het de werking van DEV-0139 zou kunnen zijn.
Het dreigingsinformatiebedrijf Volexity heeft dit weekend ook zijn bevindingen over deze aanval vrijgegeven en deze in verband gebracht met de Noord-Koreaanse Lazarus bedreigingsgroep.
Dat meldt Volexity, de Noord-Koreaan Hackers gebruik soortgelijke kwaadaardige spreadsheets voor het vergelijken van crypto-uitwisselingskosten om de AppleJeus-malware te laten vallen. Dit is wat ze hebben gebruikt bij kaping van cryptocurrency en diefstal van digitale activa.
Volexity heeft Lazarus ook ontdekt met behulp van een websitekloon voor het geautomatiseerde crypto-handelsplatform HaasOnline. Ze verspreiden een getrojaniseerde Bloxholder-app die in plaats daarvan AppleJeus-malware zou inzetten die is gebundeld in de QTBitcoinTrader-app.
De Lazarus Group is een cyberdreigingsgroep die actief is in Noord-Korea. Het is actief sinds ongeveer 2009. Het is berucht vanwege het aanvallen van spraakmakende doelen over de hele wereld, waaronder banken, mediaorganisaties en overheidsinstanties.
De groep wordt ook verdacht verantwoordelijk te zijn voor de Sony Pictures-hack in 2014 en de WannaCry-ransomware-aanval in 2017.
Bron: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/