קבוצת Lazarus הצפון קוריאנית מכוונת לקרנות קריפטו עם סיבוב חדש על טריק ישן

מיקרוסופט מדווחת כי זוהה שחקן איום המכוון לסטארט-אפים להשקעות במטבעות קריפטוגרפיים. צד שמיקרוסופט כינתה את DEV-0139 התחזה כחברת השקעות במטבעות קריפטוגרפיים בטלגרם והשתמשה בקובץ אקסל עם נשק "מעוצב היטב" כדי להדביק מערכות שהיא ניגשה אליה מרחוק.

האיום הוא חלק ממגמה של תקיפות המציגות רמת תחכום גבוהה. במקרה זה, שחקן האיום, שהזדהה באופן כוזב עם פרופילים מזויפים של עובדי OKX, הצטרף לקבוצות טלגרם "שמשמשות כדי להקל על תקשורת בין לקוחות VIP ופלטפורמות חילופי מטבעות קריפטוגרפיים", מיקרוסופט. כתב בפוסט בבלוג של 6 בדצמבר. מיקרוסופט הסבירה:

"אנו רואים התקפות מורכבות יותר שבהן שחקן האיום מראה ידע והכנה רבה, נוקט בצעדים כדי לרכוש את אמון היעד שלהם לפני פריסת מטענים."

באוקטובר, היעד הוזמן להצטרף לקבוצה חדשה ולאחר מכן ביקש משוב על מסמך אקסל שהשווה בין מבני עמלות VIP של OKX, Binance ו-Huobi. המסמך סיפק מידע מדויק ומודעות גבוהה למציאות של מסחר קריפטו, אך הוא גם העלה באופן בלתי נראה קובץ .dll זדוני (ספריית קישורים דינמית) כדי ליצור דלת אחורית למערכת של המשתמש. לאחר מכן, היעד התבקש לפתוח את קובץ ה-.dll בעצמו במהלך הדיון על עמלות.

קבוצת Lazarus הידועה לשמצה של DPRK פיתחה גרסאות חדשות ומשופרות של תוכנה זדונית שגונבת מטבעות קריפטוגרפיים שלה, AppleJeus, מסמנת את הניסיון האחרון של המשטר לגייס כספים עבור תוכניות הנשק של קים ג'ונג און. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s

— יו"ר CSIS Korea (@CSISKoreaChair) דצמבר 6, 2022

טכניקת ההתקפה עצמה ידוע מזמן. מיקרוסופט הציעה ששחקן האיום היה זהה לזה שנמצא באמצעות קובצי .dll למטרות דומות ביוני וזה כנראה עמד גם מאחורי תקריות אחרות. לפי מיקרוסופט, DEV-0139 הוא אותו שחקן שחברת אבטחת הסייבר Volexity צמוד לקבוצת Lazarus בחסות המדינה של צפון קוריאה, תוך שימוש בגרסה של תוכנות זדוניות המכונה AppleJeus ו-MSI (מתקין של מיקרוסופט). הסוכנות הפדרלית לאבטחת סייבר ותשתיות של ארצות הברית מְתוֹעָד AppleJeus בשנת 2021, ומעבדות קספרסקי דיווח עליו ב-2020.

מידע נוסף: קבוצת לזרוס הצפון קוריאנית עומדת לכאורה מאחורי פריצת גשר רונין

משרד האוצר האמריקאי התחבר באופן רשמי קבוצת לזרוס לתוכנית הנשק הגרעיני של צפון קוריאה.