Ang security division ng Microsoft, sa isang pahayag kahapon, Disyembre 6, natuklasan ang isang pag-atake na nagta-target sa mga cryptocurrency startup. Nagkaroon sila ng tiwala sa pamamagitan ng Telegram chat at nagpadala ng Excel na pinamagatang “OKX Binance at Huobi VIP fee comparison.xls,” na naglalaman ng malisyosong code na maaaring malayuang ma-access ang system ng biktima.
Sinusubaybayan ng Security threat intelligence team ang threat actor bilang DEV-0139. Nakapasok ang hacker sa mga chat group sa Telegram, ang messaging app, na nagpanggap bilang mga kinatawan ng isang kumpanya ng pamumuhunan sa crypto at nagpapanggap na tinatalakay ang mga bayarin sa pangangalakal sa mga kliyenteng VIP ng mga pangunahing palitan.
Ang layunin ay linlangin ang mga pondo ng pamumuhunan sa crypto sa pag-download ng isang Excel file. Ang file na ito ay naglalaman ng tumpak na impormasyon tungkol sa mga istruktura ng bayad ng mga pangunahing palitan ng cryptocurrency. Sa kabilang banda, mayroon itong malisyosong macro na nagpapatakbo ng isa pang Excel sheet sa background. Sa pamamagitan nito, ang masamang aktor na ito ay nakakakuha ng malayuang pag-access sa nahawaang sistema ng biktima.
microsoft Ipinaliwanag, "Ang pangunahing sheet sa Excel file ay protektado ng password dragon upang hikayatin ang target na paganahin ang mga macro." Idinagdag nila, "Ang sheet ay hindi protektado pagkatapos i-install at patakbuhin ang iba pang Excel file na nakaimbak sa Base64. Ito ay malamang na ginagamit upang linlangin ang gumagamit upang paganahin ang mga macro at hindi magtaas ng hinala."
Ayon sa mga ulat, noong Agosto, ang cryptocurrency ang kampanya ng pagmimina ng malware ay nahawaan ng higit sa 111,000 mga gumagamit.
Ikinokonekta ng Threat Intelligence ang DEV-0139 sa North Korean Lazarus threat group.
Kasama ang nakakahamak na macro Excel file, naghatid din ang DEV-0139 ng payload bilang bahagi ng panlilinlang na ito. Ito ay isang MSI package para sa isang CryptoDashboardV2 app, na nagbabayad ng parehong obtrusion. Dahil dito, iminumungkahi ng ilang katalinuhan na sila rin ang nasa likod ng iba pang mga pag-atake gamit ang parehong pamamaraan upang itulak ang mga custom na payload.
Bago ang kamakailang pagtuklas ng DEV-0139, nagkaroon ng iba pang katulad na pag-atake sa phishing na iminungkahi ng ilang mga threat intelligence team na maaaring ang mga gawain ng DEV-0139.
Inilabas din ng threat intelligence company na Volexity ang mga natuklasan nito tungkol sa pag-atakeng ito sa katapusan ng linggo, na iniuugnay ito sa North Korean Lazarus grupo ng pagbabanta.
Ayon kay Volexity, ang North Korean hackers gumamit ng katulad na nakakahamak na crypto-exchange na mga spreadsheet ng paghahambing ng bayad upang i-drop ang AppleJeus malware. Ito ang ginamit nila sa cryptocurrency hijacking at digital asset theft operations.
Natuklasan din ng Volexity si Lazarus gamit ang clone ng website para sa HaasOnline automated crypto trading platform. Namamahagi sila ng isang trojanized na Bloxholder app na sa halip ay magde-deploy ng AppleJeus malware na naka-bundle sa loob ng QTBitcoinTrader app.
Ang Lazarus Group ay isang cyber threat group na tumatakbo sa North Korea. Aktibo na ito mula noong bandang 2009. Kilala ito sa pag-atake sa mga high-profile na target sa buong mundo, kabilang ang mga bangko, organisasyon ng media, at ahensya ng gobyerno.
Ang grupo ay pinaghihinalaang responsable para sa 2014 Sony Pictures hack at ang WannaCry ransomware attack noong 2017.
Pinagmulan: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/