Microsoft, kripto para birimi yatırım şirketlerinin, firmaların VIP müşterileriyle iletişim kurmak için kullanılan telgraf grupları aracılığıyla Dev-0139 olarak izlediği bir tehdit grubu tarafından hedeflendiğini söylüyor.
Şirketin güvenlik tehdidi istihbarat ekibi, "Microsoft kısa süre önce Dev-0139 olarak izlenen tehdit aktörünün kripto para birimi yatırım şirketlerini hedeflemek için telgraf sohbet gruplarından yararlandığı bir saldırıyı araştırdı."
"Dev-0139, VIP istemcileri ve kripto para birimi değişim platformları arasındaki iletişimi kolaylaştırmak için kullanılan telgraf gruplarına katıldı ve hedeflerini üyeler arasından belirledi."
19 Ekim'de, kripto yatırım endüstrisi hakkında geniş bilgiye sahip saldırganlar, en az bir hedefi (diğer kripto varlık yönetimi firmalarının temsilcileri olarak poz veren) başka bir telgraf grubuna davet etti ve burada kripto para değişim platformlarının ücret yapısı hakkında geri bildirim istediler.
Hedeflerinin güvenini kazandıktan sonra, tehdit aktörleri onlara kripto değişim şirketlerinin VIP ücreti yapıları arasında bir veri karşılaştırması (muhtemelen güvenilirliği artırmak için doğru) ile "Okx Binance & Huobi VIP Ücret Karşılaştırması" adlı kötü niyetli excel e -tablolar gönderdi.
Mağdur belgeyi açtığında ve makroları etkinleştirdikten sonra, dosyaya gömülü ikinci bir çalışma sayfası, kötü amaçlı bir DLL, xor kodlu bir arka kapı ve daha sonra DLL'yi yan yüklemek için kullanılan meşru bir Windows yürütülebilir bir PNG dosyasını indirecek ve ayrıştırır.
Bu DLL, saldırganlara mağdurun tehlikeye atılan sistemine uzaktan erişim sağlayarak arka kapıyı şifresini çözecek ve yükleyecektir.
Microsoft, "Excel dosyasındaki ana sayfa, hedefi makroları etkinleştirmeye teşvik etmek için parola ejderhası ile korunuyor."
"Daha sonra sayfa, Base64'te depolanan diğer Excel dosyasını yükledikten ve çalıştırdıktan sonra korumasızdır. Bu muhtemelen kullanıcıyı makroları etkinleştirmek ve şüphe uyandırmak için kandırmak için kullanılır."
Dev-0139 ayrıca, bu kampanyanın bir parçası olarak ikinci bir yük, CryptoDashboardV2 uygulaması için bir MSI paketi sundu ve özel yükleri zorlamak için aynı tekniği kullanarak diğer saldırıların arkasında olduklarını gösteriyor.
Microsoft bu saldırıyı belirli bir gruba bağlamamış ve bunun yerine onu Dev-0139 tehdit faaliyet kümesine bağlamayı seçerken, tehdit istihbarat firması Volexity de hafta sonu bu saldırı hakkında kendi bulgularını yayınladı ve kuzeye bağladı. Kore Lazarus Tehdit Grubu.
Volexity'ye göre, Kuzey Koreli hackerlar Applejeus kötü amaçlı yazılım Lazarus'u daha önce kripto para kaçırma ve dijital varlık hırsızlığı operasyonlarında kullandığı kötü niyetli kripto-değişim ücreti karşılaştırma e-tablosunu kullandı.
Volexity ayrıca Lazarus'u, qtbitcointrader uygulamasında paketlenmiş Applejeus kötü amaçlı yazılımları dağıtacak bir truva atı Bloxholder uygulaması dağıtmak için Haasonline otomatik kripto para birimi ticaret platformu için bir web sitesi klonu kullanarak gözlemledi.
Microsoft, bu saldırılarda tehlikeye atılan veya hedeflenen müşterileri bilgilendirdiğini ve hesaplarını güvence altına almak için gereken bilgileri paylaştığını söyledi.
Lazarus Grubu, en az 2009'dan beri on yılı aşkın bir süredir aktif olan Kuzey Kore'den faaliyet gösteren bir hack grubudur.
Operatörleri, bankalar, medya kuruluşları ve devlet kurumları da dahil olmak üzere dünya çapında yüksek profilli hedeflere yönelik saldırılarla bilinir.
Grubun, 2014 Sony Pictures Hack ve 2017 WannaCry Fidye Yazılımı Saldırısı da dahil olmak üzere yüksek profilli siber saldırılardan sorumlu olduğu düşünülmektedir.
Bilgisayar korsanları, ağları ihlal etmek için yeni, sahte kripto uygulaması kullanıyor, kripto para birimini çalmak
Kuzey Koreli hackerlar güncellenmiş kötü amaçlı yazılımlarla Avrupa orgs hedeflerini hedefleyin
Elon Musk "Freedom Hediye" kripto aldatmaca Twitter listeleri aracılığıyla tanıtıldı
Google: State Hackers hala Internet Explorer Zero-Days'ten yararlanıyor
CryptosLabs 'Domuz Kasap' Yüzüğü 2018'den bu yana 505 milyon dolara kadar çaldı
Kaynak: Bleeping Computer