Microsoft segnala che è stato identificato un attore di minaccia che prende di mira le startup di investimento in criptovaluta. Una parte che Microsoft ha soprannominato DEV-0139 si è presentata come una società di investimento in criptovaluta su Telegram e ha utilizzato un file Excel armato con malware "ben congegnato" per infettare i sistemi a cui ha poi avuto accesso da remoto.
La minaccia fa parte di una tendenza negli attacchi che mostrano un alto livello di sofisticazione. In questo caso, l'autore della minaccia, identificandosi falsamente con falsi profili di dipendenti OKX, si è unito a gruppi di Telegram "utilizzati per facilitare la comunicazione tra client VIP e piattaforme di scambio di criptovalute", Microsoft ha scritto in un post sul blog del 6 dicembre. Microsoft ha spiegato:
"Stiamo [...] assistendo ad attacchi più complessi in cui l'autore della minaccia mostra grande conoscenza e preparazione, adottando misure per ottenere la fiducia del proprio obiettivo prima di distribuire i payload".
A ottobre, l'obiettivo è stato invitato a unirsi a un nuovo gruppo e poi ha chiesto un feedback su un documento Excel che confrontava le strutture delle commissioni VIP di OKX, Binance e Huobi. Il documento ha fornito informazioni accurate e un'elevata consapevolezza della realtà del trading di criptovalute, ma ha anche trasferito in modo invisibile un file .dll (Dynamic Link Library) dannoso per creare una backdoor nel sistema dell'utente. All'obiettivo è stato quindi chiesto di aprire il file .dll da solo nel corso della discussione sulle tariffe.
Il famigerato Lazarus Group della Corea del Nord ha sviluppato versioni nuove e migliorate del suo malware AppleJeus che ruba criptovalute, segnando l'ultimo tentativo del regime di raccogliere fondi per i programmi di armi di Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Presidente CSIS Corea (@CSISKoreaChair) Dicembre 6, 2022
La stessa tecnica di attacco è noto da tempo. Microsoft ha suggerito che l'autore della minaccia fosse lo stesso trovato utilizzando i file .dll per scopi simili a giugno e che probabilmente era anche dietro altri incidenti. Secondo Microsoft, DEV-0139 è lo stesso attore della società di sicurezza informatica Volexity connesso al Lazarus Group sponsorizzato dallo stato della Corea del Nord, utilizzando una variante di malware nota come AppleJeus e un MSI (programma di installazione Microsoft). L'Agenzia federale per la sicurezza informatica e la sicurezza delle infrastrutture degli Stati Uniti documentata AppleJeus nel 2021 e Kaspersky Labs segnalati su di esso nel 2020.
Correlato: Il gruppo nordcoreano Lazarus presumibilmente dietro l'hacking di Ronin Bridge
Il dipartimento del tesoro degli Stati Uniti si è ufficialmente connesso Lazarus Group al programma di armi nucleari della Corea del Nord.
Fonte: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick