Microsoft meldt dat er een bedreigingsactor is geïdentificeerd die zich richt op startups in cryptocurrency-investeringen. Een partij die Microsoft DEV-0139 heeft genoemd, deed zich voor als een cryptocurrency-investeringsmaatschappij op Telegram en gebruikte een Excel-bestand bewapend met "goed gemaakte" malware om systemen te infecteren waartoe het vervolgens op afstand toegang had.
De dreiging maakt deel uit van een trend in aanvallen die een hoog niveau van verfijning vertonen. In dit geval sloot de bedreigingsactor zich ten onrechte aan bij nepprofielen van OKX-medewerkers en sloot zich aan bij Telegram-groepen "die werden gebruikt om de communicatie tussen VIP-klanten en cryptocurrency-uitwisselingsplatforms te vergemakkelijken", Microsoft schreef in een blogpost van 6 december. Microsoft legde uit:
"We zien […] complexere aanvallen waarbij de dreigingsactor blijk geeft van grote kennis en voorbereiding, en stappen onderneemt om het vertrouwen van zijn doelwit te winnen voordat payloads worden ingezet."
In oktober werd het doelwit uitgenodigd om lid te worden van een nieuwe groep en vroeg vervolgens om feedback op een Excel-document waarin OKX-, Binance- en Huobi VIP-vergoedingsstructuren werden vergeleken. Het document bood nauwkeurige informatie en een groot bewustzijn van de realiteit van cryptohandel, maar het plaatste ook onzichtbaar een kwaadaardig .dll-bestand (Dynamic Link Library) om een achterdeur in het systeem van de gebruiker te creëren. Het doelwit werd vervolgens gevraagd om het .dll-bestand zelf te openen tijdens de discussie over vergoedingen.
De beruchte Lazarus Group uit de DVK heeft nieuwe en verbeterde versies ontwikkeld van zijn cryptocurrency-stelende malware AppleJeus, wat de laatste poging van het regime markeert om fondsen te vergaren voor de wapenprogramma's van Kim Jong-un. @knewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea-voorzitter (@CSISKoreaChair) 6 december 2022
De aanvalstechniek zelf is al lang bekend. Microsoft suggereerde dat de bedreigingsactor dezelfde was als degene die in juni werd gevonden met behulp van .dll-bestanden voor vergelijkbare doeleinden en dat dit waarschijnlijk ook achter andere incidenten zat. Volgens Microsoft is DEV-0139 dezelfde actor als cyberbeveiligingsbedrijf Volexity gekoppeld naar de door de staat gesponsorde Lazarus Group van Noord-Korea, met behulp van een variant van malware die bekend staat als AppleJeus en een MSI (Microsoft-installatieprogramma). De federale Cybersecurity and Infrastructure Security Agency van de Verenigde Staten gedocumenteerd AppleJeus in 2021 en Kaspersky Labs gerapporteerd erop anno 2020.
Zie ook: Noord-Koreaanse Lazarus Group zou achter Ronin Bridge-hack zitten
Het Amerikaanse ministerie van Financiën is officieel aangesloten Lazarus Group aan het kernwapenprogramma van Noord-Korea.
Bron: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick