חטיבת האבטחה של מיקרוסופט, ב-a בידיעה שהונפקה לתקשורת אתמול, 6 בדצמבר, נחשפה מתקפה המכוונת לסטארט-אפים של מטבעות קריפטוגרפיים. הם זכו לאמון באמצעות צ'אט בטלגרם ושלחו אקסל שכותרתו "OKX Binance ו-Huobi VIP comparison.xls", שהכיל קוד זדוני שיכול לגשת מרחוק למערכת של הקורבן.
צוות מודיעין איומי האבטחה עקב אחר שחקן האיום בתור DEV-0139. ההאקר הצליח לחדור לקבוצות צ'אט ב-Telegram, אפליקציית ההודעות, להתחזות לנציגים של חברת השקעות קריפטו ולהעמיד פנים שהוא מדבר על עמלות מסחר עם לקוחות VIP של בורסות גדולות.
המטרה הייתה להערים על קרנות השקעות קריפטו להוריד קובץ אקסל. קובץ זה מכיל מידע מדויק על מבני העמלות של בורסות מטבעות קריפטוגרפיים גדולים. מצד שני, יש לו מאקרו זדוני שמריץ גיליון אקסל נוסף ברקע. עם זה, השחקן הגרוע הזה מקבל גישה מרחוק למערכת הנגועה של הקורבן.
מיקרוסופט הסביר, "הגיליון הראשי בקובץ ה-Excel מוגן באמצעות דרקון הסיסמה כדי לעודד את היעד להפעיל את פקודות המאקרו." הם הוסיפו, "לאחר מכן, הגיליון אינו מוגן לאחר התקנה והרצה של קובץ האקסל האחר המאוחסן ב-Base64. זה כנראה משמש כדי לרמות את המשתמש להפעיל פקודות מאקרו ולא לעורר חשד."
על פי דיווחים, באוגוסט, ה מטבע מבוזר קמפיין כרייה של תוכנות זדוניות הדביק יותר מ-111,000 משתמשים.
מודיעין איומים מחבר את DEV-0139 לקבוצת האיומים של לזרוס הצפון קוריאנית.
יחד עם קובץ המאקרו הזדוני של Excel, DEV-0139 סיפק גם מטען כחלק מהטריק הזה. זוהי חבילת MSI עבור אפליקציית CryptoDashboardV2, שמשלם את אותה הפרעה. זה גרם לכמה מידע מודיעיני שהם גם עומדים מאחורי התקפות אחרות המשתמשות באותה טכניקה כדי לדחוף מטענים מותאמים אישית.
לפני הגילוי האחרון של DEV-0139, היו עוד התקפות דיוג דומות שכמה צוותי מודיעין איומים הציעו שעשויות להיות פעולתו של DEV-0139.
גם חברת מודיעין האיומים Volexity פרסמה את ממצאיה על המתקפה הזו בסוף השבוע, וקישרה אותה ל- לזרוס הצפון קוריאני קבוצת איומים.
לפי Volexity, הצפון קוריאני האקרים השתמש בגיליונות אלקטרוניים להשוואת עמלות חילופי קריפטו זדוניות דומות כדי להוריד את התוכנה הזדונית של AppleJeus. זה מה שהם השתמשו בחטיפת מטבעות קריפטוגרפיים ופעולות גניבת נכסים דיגיטליים.
Volexity גם חשפה את Lazarus באמצעות שיבוט אתר עבור פלטפורמת המסחר הקריפטו האוטומטית HaasOnline. הם מפיצים אפליקציית Bloxholder בטרויאנית שבמקום זאת תפרוס תוכנות זדוניות של AppleJeus הכלולות באפליקציית QTBitcoinTrader.
קבוצת לזרוס היא קבוצת איומי סייבר הפועלת בצפון קוריאה. הוא פעיל מאז 2009 בערך. הוא ידוע לשמצה בשל תקיפת מטרות בעלות פרופיל גבוה ברחבי העולם, כולל בנקים, ארגוני תקשורת וסוכנויות ממשלתיות.
הקבוצה אף על פי החשד אחראית לפריצה של Sony Pictures ב-2014 ולמתקפת הכופר של WannaCry ב-2017.
מקור: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/