Microsoft-ის უსაფრთხოების განყოფილება, ა პრესრელიზი გუშინ, 6 დეკემბერს, აღმოაჩინა თავდასხმა, რომელიც მიზნად ისახავდა კრიპტოვალუტის სტარტაპებს. მათ ნდობა მოიპოვეს Telegram ჩეთის საშუალებით და გაუგზავნეს Excel სათაურით „OKX Binance and Huobi VIP fee krahasim.xls“, რომელიც შეიცავდა მავნე კოდს, რომელსაც შეეძლო დისტანციურად წვდომა მსხვერპლის სისტემაში.
უსაფრთხოების საფრთხის დაზვერვის ჯგუფმა თვალყური ადევნა საფრთხის მოქმედს, როგორც DEV-0139. ჰაკერმა შეძლო ჩატის ჯგუფებში შეღწევა Telegram-ზე, შეტყობინებების აპში, კრიპტო საინვესტიციო კომპანიის წარმომადგენლად და ვითომდა განიხილა სავაჭრო გადასახადები ძირითადი ბირჟების VIP კლიენტებთან.
მიზანი იყო კრიპტო საინვესტიციო ფონდების მოტყუება Excel ფაილის გადმოტვირთვაში. ეს ფაილი შეიცავს ზუსტ ინფორმაციას ძირითადი კრიპტოვალუტის ბირჟების საკომისიო სტრუქტურების შესახებ. მეორეს მხრივ, მას აქვს მავნე მაკრო, რომელიც აწარმოებს სხვა Excel ფურცელს ფონზე. ამით, ეს ცუდი მსახიობი იძენს დისტანციურ წვდომას მსხვერპლის ინფიცირებულ სისტემაზე.
microsoft განმარტა, „ექსელის ფაილის მთავარი ფურცელი დაცულია პაროლის დრაკონით, რათა სამიზნე წაახალისოს მაკროების ჩართვა“. მათ დაამატეს: „ფურცელი დაუცველია Base64-ში შენახული სხვა Excel ფაილის ინსტალაციისა და გაშვების შემდეგ. ეს, სავარაუდოდ, გამოიყენება მომხმარებლის მოსატყუებლად, რომ ჩართოს მაკროები და არ გააჩინოს ეჭვი. ”
გავრცელებული ინფორმაციით, აგვისტოში, cryptocurrency მაინინგის მავნე პროგრამების კამპანიამ 111,000-ზე მეტი მომხმარებელი დაინფიცირდა.
საფრთხის დაზვერვა აკავშირებს DEV-0139 ჩრდილოეთ კორეის Lazarus საფრთხის ჯგუფს.
მავნე მაკრო Excel ფაილთან ერთად, DEV-0139-მა ასევე მიაწოდა დატვირთვა, როგორც ამ ხრიკის ნაწილი. ეს არის MSI პაკეტი CryptoDashboardV2 აპისთვის, რომელიც იხდის იგივე შეფერხებას. ამან გამოიწვია რამდენიმე დაზვერვის ვარაუდი, რომ ისინი ასევე დგანან სხვა თავდასხმების მიღმა, რომლებიც იყენებენ იმავე ტექნიკის გამოყენებას საბაჟო ტვირთამწეობისთვის.
DEV-0139-ის ბოლო აღმოჩენამდე, იყო სხვა მსგავსი ფიშინგ შეტევები, რომლებიც საფრთხის შემცველი სადაზვერვო ჯგუფის ვარაუდით, შესაძლოა იყოს DEV-0139-ის მუშაობა.
საფრთხის სადაზვერვო კომპანია Volexity-მ ასევე გამოაქვეყნა თავისი დასკვნები ამ თავდასხმის შესახებ შაბათ-კვირას და დააკავშირა იგი ჩრდილოეთ კორეელი ლაზარე საფრთხის ჯგუფი.
Volexity-ის მიხედვით, ჩრდილოეთ კორეელი Hackers გამოიყენეთ მსგავსი მავნე კრიპტობირჟის საფასურის შედარების ცხრილები AppleJeus მავნე პროგრამის ამოსაღებად. ეს არის ის, რაც მათ გამოიყენეს კრიპტოვალუტის გატაცებისა და ციფრული აქტივების ქურდობის ოპერაციებში.
Volexity-მ ასევე აღმოაჩინა Lazarus ვებგვერდის კლონის გამოყენებით HaasOnline ავტომატური კრიპტო სავაჭრო პლატფორმისთვის. ისინი ავრცელებენ ტროიანიზებულ Bloxholder აპს, რომელიც სანაცვლოდ განათავსებს AppleJeus მავნე პროგრამას QTBitcoinTrader აპში.
Lazarus Group არის კიბერ საფრთხეების ჯგუფი, რომელიც მოქმედებს ჩრდილოეთ კორეაში. ის აქტიურია დაახლოებით 2009 წლიდან. იგი ცნობილია მთელ მსოფლიოში გახმაურებულ სამიზნეებზე თავდასხმით, მათ შორის ბანკებზე, მედია ორგანიზაციებსა და სამთავრობო უწყებებზე.
ჯგუფი ასევე ეჭვმიტანილია, რომ პასუხისმგებელი იყო 2014 წელს Sony Pictures-ის ჰაკერზე და 2017 წლის WannaCry გამოსასყიდის შეტევაზე.
წყარო: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/