マイクロソフトのセキュリティ部門は、 プレスリリース 昨日、6 月 XNUMX 日、暗号通貨のスタートアップを標的とした攻撃が明らかになりました。 彼らは Telegram チャットを通じて信頼を得て、「OKX Binance と Huobi VIP 料金比較.xls」というタイトルの Excel を送信しました。これには、被害者のシステムにリモート アクセスできる悪意のあるコードが含まれていました。
セキュリティ脅威インテリジェンス チームは、脅威アクターを DEV-0139 として追跡しました。 ハッカーは、仮想通貨投資会社の代表者になりすまして、主要な取引所の VIP クライアントと取引手数料について話し合うふりをして、メッセージング アプリである Telegram のチャット グループに侵入することができました。
目標は、仮想通貨投資ファンドをだまして Excel ファイルをダウンロードさせることでした。 このファイルには、主要な仮想通貨取引所の手数料体系に関する正確な情報が含まれています。 一方で、別の Excel シートをバックグラウンドで実行する悪意のあるマクロが含まれています。 これにより、この悪意のある人物は被害者の感染したシステムへのリモート アクセスを取得します。
Microsoft 「Excel ファイルのメイン シートはパスワード ドラゴンで保護されており、ターゲットがマクロを有効にするよう促しています。」 「Base64 に保存されている他の Excel ファイルをインストールして実行すると、シートの保護が解除されます。 これは、ユーザーを騙してマクロを有効にし、疑いを持たないようにするために使用される可能性があります。」
報道によると、XNUMX月には cryptocurrency マイニング マルウェア キャンペーンは、111,000 人以上のユーザーに感染しました。
脅威インテリジェンスは、DEV-0139 を北朝鮮の Lazarus 脅威グループに関連付けます。
悪意のあるマクロ Excel ファイルとともに、DEV-0139 はこの策略の一部としてペイロードも配信しました。 これは、CryptoDashboardV2 アプリ用の MSI パッケージで、同じオブトルージョンを支払います。 これにより、いくつかのインテリジェンスは、同じ手法を使用してカスタム ペイロードをプッシュする他の攻撃の背後にもいることを示唆しています。
最近 DEV-0139 が発見される前に、一部の脅威インテリジェンス チームが DEV-0139 の仕組みである可能性があると示唆した同様のフィッシング攻撃が他にもありました。
脅威インテリジェンス企業の Volexity も週末にこの攻撃に関する調査結果を発表し、 北朝鮮のラザロ 脅威グループ。
Volexityによると、北朝鮮の ハッカー 同様の悪意のある暗号交換料金比較スプレッドシートを使用して、AppleJeus マルウェアをドロップします。 これは、彼らが暗号通貨のハイジャックやデジタル資産の盗難操作で使用したものです.
Volexity はまた、HaasOnline 自動暗号取引プラットフォームのウェブサイトのクローンを使用して、Lazarus を発見しました。 彼らは、代わりに QTBitcoinTrader アプリ内にバンドルされた AppleJeus マルウェアを展開する、トロイの木馬化された Bloxholder アプリを配布します。
Lazarus Group は、北朝鮮で活動しているサイバー脅威グループです。 2009 年頃から活動しています。銀行、メディア組織、政府機関など、世界中の注目を集める標的を攻撃することで有名です。
このグループは、2014 年の Sony Pictures のハッキングと 2017 年の WannaCry ランサムウェア攻撃にも関与していると疑われています。
ソース: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/