マイクロソフトは、暗号通貨投資のスタートアップを標的とする攻撃者が特定されたと報告しています。 Microsoft が DEV-0139 と名付けたあるパーティは、Telegram で仮想通貨投資会社を装い、「巧妙に作成された」マルウェアで武器化された Excel ファイルを使用してシステムに感染し、リモート アクセスしました。
この脅威は、高度な巧妙さを示す攻撃の傾向の一部です。 この場合、脅威アクターは、OKX 従業員の偽のプロファイルで自分自身を偽って識別し、「VIP クライアントと暗号通貨交換プラットフォーム間の通信を促進するために使用される」Telegram グループに参加しました。 書いた 6 月 XNUMX 日のブログ投稿で。 マイクロソフトは次のように説明しました。
「私たちは […] 脅威アクターが優れた知識と準備を示し、ペイロードを展開する前に標的の信頼を得るための措置を講じる、より複雑な攻撃を目にしています。」
XNUMX 月、ターゲットは新しいグループに招待され、OKX、Binance、Huobi の VIP 料金体系を比較した Excel ドキュメントについてフィードバックを求められました。 このドキュメントは正確な情報を提供し、仮想通貨取引の現実について高い認識を示しましたが、ユーザーのシステムにバックドアを作成するために、目に見えない形で悪意のある .dll (ダイナミック リンク ライブラリ) ファイルをサイドロードしていました。 次に、ターゲットは、料金に関する議論の過程で、.dll ファイルを自分で開くように求められました。
北朝鮮の悪名高いラザルス グループは、暗号通貨を盗むマルウェア AppleJeus の新しいバージョンと改良されたバージョンを開発しました。 @nknewsorg @イーサンジュエル https://t.co/LjimOmPI5s
— CSIS韓国議長 (@CSISKoreaChair) 2022 年 12 月 6 日
攻撃技自体 長い間知られています. マイクロソフトは、脅威アクターが 0139 月に同様の目的で .dll ファイルを使用して発見されたものと同じであり、おそらく他のインシデントの背後にあることを示唆しました。 Microsoft によると、DEV-XNUMX はサイバーセキュリティ会社 Volexity と同じアクターです。 リンク AppleJeus として知られるマルウェアの亜種と MSI (Microsoft インストーラー) を使用して、北朝鮮の国営の Lazarus Group に送信されました。 米国連邦サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー 文書化された 2021 年の AppleJeus、および Kaspersky Labs 報告 2020年にそれについて。
関連する 浪人橋のハッキングの背後にあるとされる北朝鮮のラザルスグループ
米国財務省 正式につながりました ラザルス・グループは北朝鮮の核兵器計画に関与している。
ソース: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick