Microsoft melaporkan bahawa pelakon ancaman telah dikenal pasti menyasarkan permulaan pelaburan mata wang kripto. Pihak Microsoft telah menggelar DEV-0139 menyamar sebagai syarikat pelaburan mata wang kripto di Telegram dan menggunakan fail Excel yang dipersenjatai dengan perisian hasad yang "direka dengan baik" untuk menjangkiti sistem yang kemudiannya diakses dari jauh.
Ancaman itu adalah sebahagian daripada trend serangan yang menunjukkan tahap kecanggihan yang tinggi. Dalam kes ini, pelakon ancaman itu, secara palsu mengenal pasti dirinya dengan profil palsu pekerja OKX, menyertai kumpulan Telegram "digunakan untuk memudahkan komunikasi antara pelanggan VIP dan platform pertukaran mata wang kripto," Microsoft menulis dalam catatan blog 6 Dis. Microsoft menjelaskan:
“Kami […] melihat serangan yang lebih kompleks di mana pelakon ancaman menunjukkan pengetahuan dan persediaan yang hebat, mengambil langkah untuk mendapatkan kepercayaan sasaran mereka sebelum menggunakan muatan.”
Pada bulan Oktober, sasaran telah dijemput untuk menyertai kumpulan baharu dan kemudian meminta maklum balas tentang dokumen Excel yang membandingkan struktur yuran VIP OKX, Binance dan Huobi. Dokumen itu memberikan maklumat yang tepat dan kesedaran yang tinggi tentang realiti perdagangan kripto, tetapi ia juga secara tidak kelihatan memuatkan fail .dll (Dynamic Link Library) berniat jahat untuk mencipta pintu belakang ke dalam sistem pengguna. Sasaran kemudiannya diminta untuk membuka sendiri fail .dll semasa perbincangan mengenai yuran.
Kumpulan Lazarus yang terkenal di DPRK telah membangunkan versi baharu dan dipertingkatkan bagi perisian hasad pencuri mata wang kripto AppleJeus, menandakan percubaan terbaru rejim itu untuk mendapatkan dana untuk program senjata Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Pengerusi CSIS Korea (@CSISKoreaChair) Disember 6, 2022
Teknik serangan itu sendiri telah lama diketahui. Microsoft mencadangkan pelakon ancaman adalah sama seperti yang didapati menggunakan fail .dll untuk tujuan yang sama pada bulan Jun dan itu mungkin di sebalik insiden lain juga. Menurut Microsoft, DEV-0139 adalah pelakon yang sama dengan firma keselamatan siber Volexity dikaitkan kepada Kumpulan Lazarus tajaan negara Korea Utara, menggunakan varian perisian hasad yang dikenali sebagai AppleJeus dan MSI (pemasang Microsoft). Agensi Keselamatan Siber dan Infrastruktur persekutuan Amerika Syarikat didokumenkan AppleJeus pada tahun 2021, dan Kaspersky Labs dilaporkan di atasnya pada tahun 2020.
Berkaitan: Kumpulan Lazarus Korea Utara didakwa di sebalik penggodaman Jambatan Ronin
Jabatan Perbendaharaan AS telah berhubung secara rasmi Kumpulan Lazarus ke program senjata nuklear Korea Utara.
Sumber: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick