گروه لازاروس کره شمالی با چرخش جدیدی بر روی یک ترفند قدیمی، صندوق های رمزنگاری را هدف قرار داده است

ارسال شده در 2022-12-07 |

مایکروسافت گزارش می دهد که یک عامل تهدید شناسایی شده است که استارت آپ های سرمایه گذاری ارزهای دیجیتال را هدف قرار می دهد. حزبی که مایکروسافت DEV-0139 را به عنوان یک شرکت سرمایه گذاری ارزهای دیجیتال در تلگرام معرفی کرده است و از یک فایل اکسل مجهز به بدافزار “خوب ساخته شده” برای آلوده کردن سیستم هایی استفاده می کند که سپس از راه دور به آنها دسترسی پیدا می کند.

این تهدید بخشی از روند حملات است که سطح بالایی از پیچیدگی را نشان می دهد. مایکروسافت در یک پست وبلاگی در 6 دسامبر نوشت، در این مورد، عامل تهدید که به دروغ خود را با پروفایل‌های جعلی کارمندان OKX معرفی می‌کند، به گروه‌های تلگرامی پیوست که «برای تسهیل ارتباط بین مشتریان VIP و پلتفرم‌های مبادله ارزهای دیجیتال استفاده می‌شوند». مایکروسافت توضیح داد:

“ما هستیم […] مشاهده حملات پیچیده‌تر که در آن عامل تهدید دانش و آمادگی بالایی را نشان می‌دهد و قبل از استقرار محموله‌ها برای جلب اعتماد هدف خود گام برمی‌دارد.

در ماه اکتبر، هدف برای پیوستن به یک گروه جدید دعوت شد و سپس در مورد یک سند اکسل که ساختارهای هزینه OKX، Binance و Huobi VIP را با هم مقایسه می کرد، درخواست بازخورد کرد. این سند اطلاعات دقیق و آگاهی بالایی از واقعیت تجارت کریپتو ارائه می‌کرد، اما به‌طور نامرئی یک فایل مخرب .dll (کتابخانه پیوند پویا) را برای ایجاد یک درب پشتی در سیستم کاربر کنار گذاشت. سپس از هدف خواسته شد که فایل .dll خود را در طول بحث در مورد هزینه ها باز کند.

گروه بدنام Lazarus کره شمالی نسخه های جدید و بهبود یافته بدافزار دزد رمزارز AppleJeus خود را توسعه داده است که نشان دهنده آخرین تلاش رژیم برای جمع آوری بودجه برای برنامه های تسلیحاتی کیم جونگ اون است. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s

– صندلی CSIS کره (@CSISKoreaChair) 6 دسامبر 2022

خود تکنیک حمله مدت هاست که شناخته شده است. مایکروسافت پیشنهاد کرد که عامل تهدید همان عاملی است که در ماه ژوئن از فایل‌های .dll برای اهداف مشابه استفاده می‌کند و احتمالاً پشت سایر حوادث نیز بوده است. به گفته مایکروسافت، DEV-0139 همان بازیگری است که شرکت امنیت سایبری Volexity با استفاده از نوعی بدافزار معروف به AppleJeus و MSI (نصب کننده مایکروسافت) به گروه لازاروس تحت حمایت دولتی کره شمالی مرتبط کرد. آژانس امنیت سایبری و امنیت زیرساخت فدرال ایالات متحده AppleJeus را در سال 2021 مستند کرد و آزمایشگاه کسپرسکی در سال 2020 در مورد آن گزارش داد.

مطالب مرتبط: گروه لازاروس کره شمالی ظاهراً پشت هک پل رونین است

وزارت خزانه داری آمریکا رسما گروه لازاروس را به برنامه تسلیحات هسته ای کره شمالی متصل کرد.