Bahagian keselamatan Microsoft, dalam a Sidang akhbar semalam, 6 Disember, mendedahkan serangan yang menyasarkan pemula mata wang kripto. Mereka mendapat kepercayaan melalui sembang Telegram dan menghantar Excel bertajuk "OKX Binance dan perbandingan bayaran VIP Huobi.xls," yang mengandungi kod hasad yang boleh mengakses sistem mangsa dari jauh.
Pasukan perisikan ancaman Keselamatan telah menjejaki aktor ancaman sebagai DEV-0139. Penggodam itu dapat menyusup masuk ke kumpulan sembang di Telegram, aplikasi pemesejan, menyamar sebagai wakil syarikat pelaburan crypto dan berpura-pura membincangkan yuran dagangan dengan pelanggan VIP bursa utama.
Matlamatnya adalah untuk menipu dana pelaburan crypto untuk memuat turun fail Excel. Fail ini mengandungi maklumat tepat tentang struktur yuran pertukaran mata wang kripto utama. Sebaliknya, ia mempunyai makro berniat jahat yang menjalankan helaian Excel lain di latar belakang. Dengan ini, pelakon jahat ini mendapat akses jauh ke sistem mangsa yang dijangkiti.
microsoft menjelaskan, "Helaian utama dalam fail Excel dilindungi dengan naga kata laluan untuk menggalakkan sasaran untuk membolehkan makro." Mereka menambah, "Helaian itu kemudiannya tidak dilindungi selepas memasang dan menjalankan fail Excel lain yang disimpan dalam Base64. Ini mungkin digunakan untuk menipu pengguna untuk mendayakan makro dan tidak menimbulkan syak wasangka."
Menurut laporan, pada bulan Ogos, yang mata wang kripto kempen perisian hasad perlombongan menjangkiti lebih 111,000 pengguna.
Perisikan ancaman menghubungkan DEV-0139 kepada kumpulan ancaman Lazarus Korea Utara.
Bersama-sama dengan fail makro Excel yang berniat jahat, DEV-0139 juga menyampaikan muatan sebagai sebahagian daripada muslihat ini. Ini pakej MSI untuk aplikasi CryptoDashboardV2, yang membayar halangan yang sama. Ini telah membuat beberapa risikan mencadangkan bahawa mereka juga berada di belakang serangan lain menggunakan teknik yang sama untuk menolak muatan tersuai.
Sebelum penemuan DEV-0139 baru-baru ini, terdapat serangan pancingan data lain yang serupa yang dicadangkan oleh beberapa pasukan perisikan ancaman mungkin merupakan cara kerja DEV-0139.
Syarikat perisikan ancaman Volexity juga mengeluarkan penemuannya tentang serangan ini pada hujung minggu, mengaitkannya dengan Lazarus Korea Utara kumpulan ancaman.
Menurut Volexity, warga Korea Utara penggodam gunakan hamparan perbandingan yuran pertukaran kripto yang berniat jahat yang serupa untuk menggugurkan perisian hasad AppleJeus. Inilah yang telah mereka gunakan dalam rampasan mata wang kripto dan operasi kecurian aset digital.
Volexity juga telah mendedahkan Lazarus menggunakan klon tapak web untuk platform dagangan crypto automatik HaasOnline. Mereka mengedarkan aplikasi Bloxholder yang ditrojan yang sebaliknya akan menggunakan perisian hasad AppleJeus yang digabungkan dalam apl QTBitcoinTrader.
Kumpulan Lazarus ialah kumpulan ancaman siber yang beroperasi di Korea Utara. Ia telah aktif sejak sekitar 2009. Ia terkenal kerana menyerang sasaran berprofil tinggi di seluruh dunia, termasuk bank, organisasi media dan agensi kerajaan.
Kumpulan itu juga disyaki bertanggungjawab atas penggodaman Sony Pictures 2014 dan serangan ransomware WannaCry pada 2017.
Sumber: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/