Microsoft, kripto para birimi yatırım girişimlerini hedef alan bir tehdit aktörünün tespit edildiğini bildirdi. Microsoft'un DEV-0139 olarak adlandırdığı bir parti, Telegram'da bir kripto para birimi yatırım şirketi gibi davrandı ve daha sonra uzaktan eriştiği sistemlere bulaşmak için "iyi hazırlanmış" kötü amaçlı yazılımlarla silahlandırılmış bir Excel dosyası kullandı.
Tehdit, yüksek düzeyde karmaşıklık gösteren saldırı eğiliminin bir parçasıdır. Bu durumda, kendisini sahte bir şekilde OKX çalışanlarının sahte profilleriyle tanımlayan tehdit aktörü, Microsoft'un "VIP müşteriler ile kripto para birimi değişim platformları arasındaki iletişimi kolaylaştırmak için kullanılan" Telegram gruplarına katıldı. yazdı 6 Aralık tarihli bir blog yazısında. Microsoft açıkladı:
"Tehdit aktörünün büyük bilgi ve hazırlık gösterdiği, yükleri konuşlandırmadan önce hedefinin güvenini kazanmak için adımlar attığı daha karmaşık saldırılar görüyoruz."
Ekim ayında hedef yeni bir gruba katılmaya davet edildi ve ardından OKX, Binance ve Huobi VIP ücret yapılarını karşılaştıran bir Excel belgesi hakkında geri bildirim istendi. Belge, kripto ticaretinin gerçekliğine dair doğru bilgiler ve yüksek farkındalık sağlıyordu, ancak aynı zamanda kullanıcının sistemine bir arka kapı oluşturmak için görünmez bir şekilde kötü amaçlı bir .dll (Dinamik Bağlantı Kitaplığı) dosyasını da yandan yükledi. Daha sonra hedefin, ücretlerle ilgili tartışma sırasında .dll dosyasını kendisinin açması istendi.
Kuzey Kore'nin kötü şöhretli Lazarus Grubu, kripto para hırsızlığı yapan kötü amaçlı yazılım AppleJeus'un yeni ve geliştirilmiş versiyonlarını geliştirdi; bu, rejimin Kim Jong-un'un silah programları için fon toplamaya yönelik son girişimine işaret ediyor. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Kore Başkanı (@CSISKoreaChair) 6 Aralık 2022
Saldırı tekniğinin kendisi uzun zamandır biliniyor. Microsoft, tehdit aktörünün Haziran ayında .dll dosyalarını benzer amaçlarla kullandığı tespit edilen saldırganla aynı olduğunu ve muhtemelen başka olayların da arkasında bu olduğunu öne sürdü. Microsoft'a göre DEV-0139, siber güvenlik firması Volexity ile aynı aktör bağlantılı Kuzey Kore'nin devlet destekli Lazarus Grubuna, AppleJeus olarak bilinen bir kötü amaçlı yazılım çeşidi ve bir MSI (Microsoft yükleyicisi) kullanılarak saldırı yapıldı. Amerika Birleşik Devletleri federal Siber Güvenlik ve Altyapı Güvenliği Ajansı belgeli 2021'de AppleJeus ve Kaspersky Labs rapor 2020'de bunun üzerinde.
İlgili: Kuzey Koreli Lazarus Grubu'nun Ronin Bridge hackinin arkasında olduğu iddia ediliyor
ABD Hazine Bakanlığı resmen bağlandı Lazarus Grubu, Kuzey Kore'nin nükleer silah programına katıldı.
Kaynak: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick