Microsoft-ը հայտնում է, որ հայտնաբերվել է սպառնալիքի դերակատար, որն ուղղված է կրիպտոարժույթի ներդրումային ստարտափներին: Microsoft-ի մի կուսակցություն անվանել է DEV-0139-ը, որը ներկայացել է որպես կրիպտոարժույթի ներդրումային ընկերություն Telegram-ում և օգտագործել է Excel ֆայլ, որը զինված է «լավ մշակված» չարամիտ ծրագրերով՝ վարակելու համակարգերը, որոնք այնուհետև հասանելի է եղել հեռակա կարգով:
Սպառնալիքը հարձակումների մի միտումի մի մասն է, որը ցույց է տալիս բարձր մակարդակի բարդություն: Այս դեպքում սպառնալիքի դերակատարը, կեղծ կերպով իրեն նույնացնելով OKX-ի աշխատակիցների կեղծ պրոֆիլների հետ, միացել է Telegram խմբերին, որոնք «օգտագործվում են VIP հաճախորդների և կրիպտոարժույթների փոխանակման հարթակների միջև հաղորդակցությունը հեշտացնելու համար», գրել դեկտեմբերի 6-ի բլոգային գրառման մեջ: Microsoft-ը բացատրել է.
«Մենք […] տեսնում ենք ավելի բարդ հարձակումներ, որտեղ սպառնալիքի դերակատարը ցույց է տալիս մեծ գիտելիքներ և պատրաստվածություն՝ քայլեր ձեռնարկելով իրենց թիրախի վստահությունը շահելու համար՝ նախքան բեռների տեղակայումը»:
Հոկտեմբերին թիրախը հրավիրվեց միանալու նոր խմբին, այնուհետև հետադարձ կապ խնդրեց Excel փաստաթղթի վերաբերյալ, որը համեմատում էր OKX, Binance և Huobi VIP վճարների կառուցվածքները: Փաստաթուղթը տրամադրում էր ճշգրիտ տեղեկատվություն և բարձր տեղեկացվածություն կրիպտո-առևտրի իրականության մասին, սակայն այն նաև անտեսանելի կերպով ներբեռնեց վնասակար .dll (Դինամիկ հղումների գրադարան) ֆայլը՝ օգտատիրոջ համակարգում հետին դուռ ստեղծելու համար: Այնուհետև թիրախին խնդրեցին ինքնուրույն բացել .dll ֆայլը վճարների վերաբերյալ քննարկման ընթացքում:
ԿԺԴՀ-ի տխրահռչակ Lazarus Group-ը մշակել է AppleJeus կրիպտոարժույթներ գողացող իր չարամիտ ծրագրի նոր և կատարելագործված տարբերակները՝ նշանավորելով Կիմ Չեն Ընի սպառազինության ծրագրերի համար միջոցներ հավաքելու ռեժիմի վերջին փորձը: @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Կորեայի ամբիոն (@CSISKoreaChair) Դեկտեմբերի 6, 2022
Հարձակման տեխնիկան ինքնին վաղուց հայտնի է. Microsoft-ն առաջարկել է, որ սպառնալիքի դերակատարը նույնն է, ինչ հունիսին հայտնաբերված .dll ֆայլերը նմանատիպ նպատակներով օգտագործելու համար, և դա հավանաբար կանգնած է նաև այլ միջադեպերի հետևում: Ըստ Microsoft-ի՝ DEV-0139-ը նույն դերակատարն է, ինչ կիբերանվտանգության Volexity ընկերությունը հետ Հյուսիսային Կորեայի պետության կողմից հովանավորվող Lazarus Group-ին՝ օգտագործելով AppleJeus անունով հայտնի չարամիտ ծրագրակազմ և MSI (Microsoft տեղադրող): Միացյալ Նահանգների կիբերանվտանգության և ենթակառուցվածքների անվտանգության դաշնային գործակալություն փաստագրված AppleJeus-ը 2021 թվականին, և Kaspersky Labs-ը մասին դրա վրա 2020 թ.
Related: Հյուսիսային Կորեայի Lazarus Group-ը, իբր, կանգնած է Ronin Bridge-ի կոտրման հետևում
ԱՄՆ ֆինանսների նախարարությունը պաշտոնապես միացել է Lazarus Group-ը Հյուսիսային Կորեայի միջուկային զենքի ծրագրին.
Աղբյուր՝ https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick