Microsoft berichtet, dass ein Bedrohungsakteur identifiziert wurde, der auf Startups mit Kryptowährungsinvestitionen abzielt. Eine Partei, die Microsoft DEV-0139 getauft hat, gab sich bei Telegram als Kryptowährungs-Investmentgesellschaft aus und benutzte eine Excel-Datei, die mit „gut ausgearbeiteter“ Malware bewaffnet war, um Systeme zu infizieren, auf die sie dann aus der Ferne zugegriffen hat.
Die Bedrohung ist Teil eines Trends bei Angriffen, die ein hohes Maß an Raffinesse aufweisen. In diesem Fall schloss sich der Bedrohungsakteur, der sich fälschlicherweise mit gefälschten Profilen von OKX-Mitarbeitern identifizierte, Telegram-Gruppen an, „die verwendet werden, um die Kommunikation zwischen VIP-Kunden und Plattformen für den Austausch von Kryptowährungen zu erleichtern“, Microsoft schrieb in einem Blogbeitrag vom 6. Dezember. Microsoft erklärte:
„Wir sehen […] komplexere Angriffe, bei denen der Angreifer große Kenntnisse und Vorbereitung zeigt und Schritte unternimmt, um das Vertrauen seines Ziels zu gewinnen, bevor er Nutzlasten einsetzt.“
Im Oktober wurde die Zielperson eingeladen, einer neuen Gruppe beizutreten, und dann um Feedback zu einem Excel-Dokument gebeten, in dem die VIP-Gebührenstrukturen von OKX, Binance und Huobi verglichen wurden. Das Dokument lieferte genaue Informationen und ein hohes Bewusstsein für die Realität des Kryptohandels, aber es lud auch unsichtbar eine bösartige .dll-Datei (Dynamic Link Library) von der Seite, um eine Hintertür in das System des Benutzers zu erstellen. Die Zielperson wurde dann im Laufe der Gebührendiskussion aufgefordert, die .dll-Datei selbst zu öffnen.
Die berüchtigte Lazarus-Gruppe der DVRK hat neue und verbesserte Versionen ihrer Krypto-Währung stehlenden Malware AppleJeus entwickelt und markiert damit den jüngsten Versuch des Regimes, Gelder für die Waffenprogramme von Kim Jong-un zu sammeln. @nknewsorg @EthanJewel https://t.co/LjimOmPI5s
— Vorsitzender des CSIS Korea (@CSISKoreaChair) 6. Dezember 2022
Die Angriffstechnik selbst ist seit langem bekannt. Microsoft schlug vor, dass der Bedrohungsakteur derselbe war wie derjenige, der im Juni bei der Verwendung von .dll-Dateien für ähnliche Zwecke gefunden wurde, und dass dies wahrscheinlich auch hinter anderen Vorfällen steckte. Laut Microsoft ist DEV-0139 derselbe Akteur wie die Cybersicherheitsfirma Volexity verknüpft an die staatlich geförderte nordkoreanische Lazarus-Gruppe unter Verwendung einer Malware-Variante namens AppleJeus und eines MSI (Microsoft-Installationsprogramms). Die Bundesbehörde für Cybersicherheit und Infrastruktursicherheit der Vereinigten Staaten dokumentiert AppleJeus im Jahr 2021 und Kaspersky Labs berichtet 2020 darauf.
Related: Die nordkoreanische Lazarus Group soll angeblich hinter dem Ronin-Bridge-Hack stecken
Das US-Finanzministerium hat sich offiziell verbunden Lazarus Group zum Atomwaffenprogramm Nordkoreas.
Quelle: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick