Microsoft-ի անվտանգության բաժինը, ա Մամլո հաղորդագրություն Երեկ՝ դեկտեմբերի 6-ին, բացահայտվեց կրիպտոարժույթի ստարտափների դեմ ուղղված հարձակումը: Նրանք վստահություն ձեռք բերեցին Telegram chat-ի միջոցով և ուղարկեցին Excel «OKX Binance and Huobi VIP fee krahasim.xls» վերնագրով, որը պարունակում էր վնասակար կոդ, որը կարող էր հեռակա մուտք գործել զոհի համակարգ:
Անվտանգության սպառնալիքների հետախուզական թիմը հետևել է սպառնալիքի դերակատարին որպես DEV-0139: Հաքերը կարողացել է ներթափանցել չաթի խմբեր Telegram-ում՝ հաղորդագրությունների փոխանակման հավելվածում՝ դիմակավորվելով որպես կրիպտո ներդրումային ընկերության ներկայացուցիչ և ձևացնելով, թե քննարկում է առևտրի վճարները խոշոր բորսաների VIP հաճախորդների հետ:
Նպատակը ծպտյալ ներդրումային հիմնադրամներին խաբելն էր՝ Excel ֆայլ ներբեռնելու համար: Այս ֆայլը պարունակում է ճշգրիտ տեղեկատվություն կրիպտոարժույթների խոշոր բորսաների վճարների կառուցվածքի մասին: Մյուս կողմից, այն ունի վնասակար մակրո, որը հետին պլանում գործարկում է մեկ այլ Excel թերթ: Դրանով այս վատ դերասանը հեռահար մուտք է ստանում տուժողի վարակված համակարգին:
Microsoft «Excel ֆայլի հիմնական թերթիկը պաշտպանված է գաղտնաբառի վիշապով, որպեսզի խրախուսի թիրախին միացնել մակրոները»: Նրանք ավելացրել են. «Այնուհետև թերթն անպաշտպան է Base64-ում պահվող մյուս Excel ֆայլը տեղադրելուց և գործարկելուց հետո: Սա, ամենայն հավանականությամբ, օգտագործվում է օգտագործողին խաբելու համար՝ մակրոները միացնելու և կասկածներ չառաջացնելու համար»:
Ըստ տեղեկությունների՝ օգոստոսին, cryptocurrency հանքարդյունաբերության չարամիտ արշավը վարակել է ավելի քան 111,000 օգտատերերի:
Սպառնալիքների հետախուզությունը DEV-0139-ը միացնում է հյուսիսկորեական Lazarus սպառնալիքի խմբին:
Վնասակար մակրո Excel ֆայլի հետ մեկտեղ DEV-0139-ը նաև առաքել է օգտակար բեռ՝ որպես այս խաբեության մաս: Սա MSI փաթեթ է CryptoDashboardV2 հավելվածի համար, որը վճարում է նույն խանգարումը: Սա ստիպեց մի քանի հետախուզության ենթադրել, որ նրանք նաև կանգնած են այլ հարձակումների հետևում, օգտագործելով նույն տեխնիկան՝ մաքսային բեռները մղելու համար:
Մինչև DEV-0139-ի վերջին հայտնաբերումը, եղել են նմանատիպ այլ ֆիշինգ հարձակումներ, որոնք սպառնալիքների հետախուզական խմբերի կարծիքով կարող էին լինել DEV-0139-ի աշխատանքը:
Սպառնալիքների հետախուզական Volexity ընկերությունը նույնպես հրապարակեց իր բացահայտումները այս հարձակման մասին հանգստյան օրերին՝ կապելով այն Հյուսիսային Կորեայի Ղազարոս սպառնալիքների խումբ.
Ըստ Volexity-ի՝ հյուսիսկորեական հաքերները օգտագործեք նմանատիպ վնասակար կրիպտոփոխանակման վճարների համեմատական աղյուսակներ՝ AppleJeus չարամիտ ծրագիրը հեռացնելու համար: Սա այն է, ինչ նրանք օգտագործել են կրիպտոարժույթի առևանգման և թվային ակտիվների գողության գործառնություններում:
Volexity-ն նաև բացահայտել է Ղազարուսը՝ օգտագործելով վեբկայքի կլոնը HaasOnline ավտոմատ կրիպտո առևտրային հարթակի համար: Նրանք տարածում են տրոյականացված Bloxholder հավելվածը, որը փոխարենը կտեղակայի AppleJeus չարամիտ ծրագիր՝ փաթեթավորված QTBitcoinTrader հավելվածում:
The Lazarus Group-ը կիբեր սպառնալիքների խումբ է, որը գործում է Հյուսիսային Կորեայում: Այն ակտիվ է մոտ 2009 թվականից: Այն հայտնի է ամբողջ աշխարհում բարձրակարգ թիրախների վրա հարձակումներով, ներառյալ բանկերը, լրատվամիջոցները և պետական կառույցները:
Խումբը նաև կասկածվում է, որ պատասխանատու է 2014 թվականին Sony Pictures-ի հարձակման և 2017 թվականի WannaCry փրկագին հարձակման համար:
Աղբյուր՝ https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/