Die Sicherheitsabteilung von Microsoft, in a Pressemitteilung gestern, am 6. Dezember, wurde ein Angriff auf Kryptowährungs-Startups aufgedeckt. Sie gewannen Vertrauen durch den Telegramm-Chat und schickten eine Excel-Datei mit dem Titel „OKX Binance und Huobi VIP-Gebührenvergleich.xls“, die schädlichen Code enthielt, der aus der Ferne auf das System des Opfers zugreifen konnte.
Das Security Threat Intelligence Team hat den Bedrohungsakteur als DEV-0139 aufgespürt. Der Hacker war in der Lage, Chat-Gruppen auf Telegram, der Messaging-App, zu infiltrieren, sich als Vertreter einer Krypto-Investmentgesellschaft auszugeben und vorzugeben, Handelsgebühren mit VIP-Kunden großer Börsen zu besprechen.
Das Ziel war es, Krypto-Investmentfonds dazu zu bringen, eine Excel-Datei herunterzuladen. Diese Datei enthält genaue Informationen über die Gebührenstrukturen der wichtigsten Kryptowährungsbörsen. Auf der anderen Seite enthält es ein bösartiges Makro, das eine andere Excel-Tabelle im Hintergrund ausführt. Damit erhält dieser Angreifer Fernzugriff auf das infizierte System des Opfers.
Microsoft erklärt: „Das Hauptblatt in der Excel-Datei ist mit dem Passwortdrachen geschützt, um das Ziel zu ermutigen, die Makros zu aktivieren.“ Sie fügten hinzu: „Das Blatt ist dann ungeschützt, nachdem die andere in Base64 gespeicherte Excel-Datei installiert und ausgeführt wurde. Dies wird wahrscheinlich verwendet, um den Benutzer dazu zu bringen, Makros zu aktivieren und keinen Verdacht zu erregen.“
Berichten zufolge im August, die kryptowährung Mining-Malware-Kampagne infizierte mehr als 111,000 Benutzer.
Threat Intelligence verbindet DEV-0139 mit der nordkoreanischen Lazarus-Bedrohungsgruppe.
Neben der schädlichen Makro-Excel-Datei lieferte DEV-0139 im Rahmen dieser Trickserei auch eine Payload. Dies ist ein MSI-Paket für eine CryptoDashboardV2-App, die die gleiche Belästigung auszahlt. Dies ließ mehrere Geheimdienste vermuten, dass sie auch hinter anderen Angriffen stecken, die dieselbe Technik verwenden, um benutzerdefinierte Payloads zu pushen.
Vor der kürzlichen Entdeckung von DEV-0139 gab es andere ähnliche Phishing-Angriffe, von denen einige Threat Intelligence-Teams vermuteten, dass sie die Funktionsweise von DEV-0139 sein könnten.
Das Threat-Intelligence-Unternehmen Volexity veröffentlichte am Wochenende ebenfalls seine Erkenntnisse zu diesem Angriff und verknüpfte sie mit dem Der nordkoreanische Lazarus Bedrohungsgruppe.
Laut Volexity, dem Nordkoreaner Hacker Verwenden Sie ähnliche bösartige Vergleichstabellen für Krypto-Wechselgebühren, um die AppleJeus-Malware zu löschen. Dies haben sie bei Operationen zum Entführen von Kryptowährungen und zum Diebstahl digitaler Vermögenswerte verwendet.
Volexity hat auch Lazarus mithilfe eines Website-Klons für die automatisierte Krypto-Handelsplattform HaasOnline aufgedeckt. Sie verbreiten eine mit Trojanern behaftete Bloxholder-App, die stattdessen AppleJeus-Malware bereitstellen würde, die in der QTBitcoinTrader-App gebündelt ist.
Die Lazarus-Gruppe ist eine in Nordkorea tätige Cyber-Bedrohungsgruppe. Es ist seit etwa 2009 aktiv. Es ist berüchtigt dafür, hochkarätige Ziele weltweit anzugreifen, darunter Banken, Medienorganisationen und Regierungsbehörden.
Die Gruppe wird auch verdächtigt, für den Hack von Sony Pictures im Jahr 2014 und den WannaCry-Ransomware-Angriff von 2017 verantwortlich zu sein.
Quelle: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/