Microsoft корпорациясының қауіпсіздік бөлімі, а баспасөз хабарламасы кеше, 6 желтоқсанда криптовалюталық стартаптарға бағытталған шабуыл анықталды. Олар Telegram чаты арқылы сенімге ие болды және жәбірленушінің жүйесіне қашықтан қол жеткізе алатын зиянды кодты қамтитын «OKX Binance және Huobi VIP fee comparison.xls» атты Excel файлын жіберді.
Қауіпсіздікке қарсы барлау тобы қауіп актерын DEV-0139 ретінде қадағалады. Хакер крипто-инвестициялық компанияның өкілдері ретінде көрініп, ірі биржалардың VIP клиенттерімен сауда ақысын талқылайтындай кейіп танытып, хабар алмасу қолданбасы Telegram-дағы чат топтарына еніп үлгерді.
Мақсаты криптографиялық инвестициялық қорларды Excel файлын жүктеп алу үшін алдау болды. Бұл файлда ірі криптовалюта биржаларының комиссиялық құрылымдары туралы нақты ақпарат бар. Екінші жағынан, оның фондық режимде басқа Excel парағын іске қосатын зиянды макросы бар. Осы арқылы бұл нашар актер жәбірленушінің жұқтырған жүйесіне қашықтан қол жеткізе алады.
Microsoft «Макростарды қосу үшін мақсатты ынталандыру үшін Excel файлындағы негізгі парақ құпия сөз айдаһарымен қорғалған» деп түсіндірді. Олар былай деп қосты: «Содан кейін Base64 ішінде сақталған басқа Excel файлын орнатып, іске қосқаннан кейін парақ қорғалмаған. Бұл макростарды қосу және күдік туғызбау үшін пайдаланушыны алдау үшін пайдаланылуы мүмкін.
Мәліметтерге сәйкес, тамыз айында cryptocurrency Майнинг зиянды бағдарлама науқаны 111,000 XNUMX-нан астам пайдаланушыны жұқтырды.
Қауіпті барлау DEV-0139-ды Солтүстік Кореяның Лазарус қауіп тобымен байланыстырады.
Зиянды Excel макрос файлымен бірге DEV-0139 да осы қулықтың бөлігі ретінде пайдалы жүкті жеткізді. Бұл бірдей кедергіні төлейтін CryptoDashboardV2 қолданбасына арналған MSI бумасы. Бұл бірнеше барлау деректері олардың теңшелетін пайдалы жүктемелерді итеру үшін бірдей әдісті қолданатын басқа шабуылдардың артында тұрғанын болжауға мүмкіндік берді.
Жақында DEV-0139 табылғанға дейін, кейбір қауіп барлау топтары DEV-0139 жұмысы болуы мүмкін деп болжаған басқа да ұқсас фишингтік шабуылдар болды.
Қауіп-қатер барлау компаниясы Volexity де демалыс күндері бұл шабуыл туралы өз нәтижелерін жариялады. Солтүстік Корея Лазары қауіп тобы.
Volexity мәліметінше, солтүстік кореялық хакерлер AppleJeus зиянды бағдарламасын жою үшін ұқсас зиянды крипто-айырбастау ақысын салыстыру электрондық кестелерін пайдаланыңыз. Бұл олар криптовалюта ұрлау және цифрлық активтерді ұрлау операцияларында қолданған.
Volexity сонымен қатар HaasOnline автоматтандырылған криптосауда платформасы үшін веб-сайт клонын пайдаланып Лазарды ашты. Олар QTBitcoinTrader қолданбасында жинақталған AppleJeus зиянды бағдарламаларын орналастыратын трояндық Bloxholder қолданбасын таратады.
Lazarus Group - Солтүстік Кореяда жұмыс істейтін киберқауіпті топ. Ол шамамен 2009 жылдан бері белсенді. Ол бүкіл әлем бойынша беделді нысандарға, соның ішінде банктерге, медиа ұйымдарға және мемлекеттік органдарға шабуыл жасаумен танымал.
Сондай-ақ бұл топ 2014 жылы Sony Pictures-ті бұзу және 2017 жылы WannaCry төлемдік бағдарламалық қамтамасыз ету шабуылына жауапты деген күдік бар.
Дереккөз: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/