بخش امنیتی مایکروسافت، در یک اطلاعیه مطبوعاتی دیروز، 6 دسامبر، حمله ای را کشف کرد که استارتاپ های ارزهای دیجیتال را هدف قرار می داد. آنها از طریق چت تلگرام اعتماد به دست آوردند و یک اکسل با عنوان "OKX Binance and Huobi VIP fee krahasim.xls" ارسال کردند که حاوی کدهای مخربی بود که می توانست از راه دور به سیستم قربانی دسترسی داشته باشد.
تیم اطلاعاتی تهدید امنیتی عامل تهدید را با نام DEV-0139 ردیابی کرده است. این هکر توانست به گروههای چت در تلگرام، اپلیکیشن پیامرسان نفوذ کند و خود را به عنوان نمایندگان یک شرکت سرمایهگذاری رمزنگاری نشان دهد و وانمود کند که درباره هزینههای معاملاتی با مشتریان VIP صرافیهای بزرگ بحث میکند.
هدف فریب وجوه سرمایه گذاری ارزهای دیجیتال برای دانلود فایل اکسل بود. این فایل حاوی اطلاعات دقیقی در مورد ساختار کارمزد صرافی های اصلی ارزهای دیجیتال است. از سوی دیگر، دارای یک ماکرو مخرب است که برگه اکسل دیگری را در پس زمینه اجرا می کند. با این کار، این بازیگر بد به سیستم آلوده قربانی از راه دور دسترسی پیدا می کند.
مایکروسافت توضیح داد: "صفحه اصلی فایل اکسل با رمز عبور اژدها محافظت می شود تا هدف را تشویق کند تا ماکروها را فعال کند." آنها افزودند: «این برگه پس از نصب و اجرای فایل اکسل دیگر ذخیره شده در Base64 محافظت نمی شود. این احتمالاً برای فریب کاربر برای فعال کردن ماکروها و عدم ایجاد شک استفاده می شود.
بر اساس گزارش ها، در ماه اوت، کریپتو کارنسی (رمز ارزها ) کمپین بدافزار استخراج بیش از 111,000 کاربر را آلوده کرد.
اطلاعات تهدید DEV-0139 را به گروه تهدید لازاروس کره شمالی متصل می کند.
همراه با فایل ماکرو مخرب اکسل، DEV-0139 نیز به عنوان بخشی از این ترفند، یک محموله را تحویل داد. این یک بسته MSI برای یک برنامه CryptoDashboardV2 است که همان مزاحمت را جبران می کند. این باعث شده بود که چندین اطلاعات نشان دهند که آنها همچنین پشت حملات دیگری هستند که از تکنیک مشابه برای فشار دادن بارهای سفارشی استفاده می کنند.
قبل از کشف اخیر DEV-0139، حملات فیشینگ مشابه دیگری نیز وجود داشت که برخی از تیمهای اطلاعاتی تهدیدات احتمال میدادند کار DEV-0139 باشد.
شرکت اطلاعاتی تهدید Volexity نیز یافته های خود را در مورد این حمله در آخر هفته منتشر کرد و آن را به این حمله مرتبط کرد لازاروس کره شمالی گروه تهدید
به گزارش Volexity، کره شمالی هکرها از صفحات گسترده مقایسه کارمزد مبادلات رمزنگاری مخرب مشابه برای حذف بدافزار AppleJeus استفاده کنید. این همان چیزی است که آنها در عملیات ربودن ارزهای دیجیتال و سرقت دارایی های دیجیتال استفاده کرده اند.
Volexity همچنین Lazarus را با استفاده از یک شبیهسازی وبسایت برای پلتفرم معاملاتی رمزنگاری خودکار HaasOnline کشف کرده است. آنها یک برنامه Bloxholder تروجانیزه شده را توزیع می کنند که در عوض بدافزار AppleJeus را در برنامه QTBitcoinTrader استقرار می دهد.
گروه لازاروس یک گروه تهدید سایبری است که در کره شمالی فعالیت می کند. این از حدود سال 2009 فعال بوده است. به دلیل حمله به اهداف برجسته در سراسر جهان، از جمله بانک ها، سازمان های رسانه ای، و سازمان های دولتی بدنام است.
این گروه همچنین مسئول هک Sony Pictures در سال 2014 و حمله باج افزار WannaCry در سال 2017 است.
منبع: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/