گروه لازاروس کره شمالی با چرخش جدیدی بر روی یک ترفند قدیمی، صندوق های رمزنگاری را هدف قرار داده است
مایکروسافت گزارش می دهد که یک عامل تهدید شناسایی شده است که استارت آپ های سرمایه گذاری ارزهای دیجیتال را هدف قرار می دهد. حزبی که مایکروسافت DEV-0139 را به عنوان یک شرکت سرمایه گذاری ارزهای دیجیتال در تلگرام معرفی کرده است و از یک فایل اکسل مجهز به بدافزار “خوب ساخته شده” برای آلوده کردن سیستم هایی استفاده می کند که سپس از راه دور به آنها دسترسی پیدا می کند.
این تهدید بخشی از روند حملات است که سطح بالایی از پیچیدگی را نشان می دهد. مایکروسافت در یک پست وبلاگی در 6 دسامبر نوشت، در این مورد، عامل تهدید که به دروغ خود را با پروفایلهای جعلی کارمندان OKX معرفی میکند، به گروههای تلگرامی پیوست که «برای تسهیل ارتباط بین مشتریان VIP و پلتفرمهای مبادله ارزهای دیجیتال استفاده میشوند». مایکروسافت توضیح داد:
“ما هستیم […] مشاهده حملات پیچیدهتر که در آن عامل تهدید دانش و آمادگی بالایی را نشان میدهد و قبل از استقرار محمولهها برای جلب اعتماد هدف خود گام برمیدارد.
در ماه اکتبر، هدف برای پیوستن به یک گروه جدید دعوت شد و سپس در مورد یک سند اکسل که ساختارهای هزینه OKX، Binance و Huobi VIP را با هم مقایسه می کرد، درخواست بازخورد کرد. این سند اطلاعات دقیق و آگاهی بالایی از واقعیت تجارت کریپتو ارائه میکرد، اما بهطور نامرئی یک فایل مخرب .dll (کتابخانه پیوند پویا) را برای ایجاد یک درب پشتی در سیستم کاربر کنار گذاشت. سپس از هدف خواسته شد که فایل .dll خود را در طول بحث در مورد هزینه ها باز کند.
گروه بدنام Lazarus کره شمالی نسخه های جدید و بهبود یافته بدافزار دزد رمزارز AppleJeus خود را توسعه داده است که نشان دهنده آخرین تلاش رژیم برای جمع آوری بودجه برای برنامه های تسلیحاتی کیم جونگ اون است. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
– صندلی CSIS کره (@CSISKoreaChair) 6 دسامبر 2022
خود تکنیک حمله مدت هاست که شناخته شده است. مایکروسافت پیشنهاد کرد که عامل تهدید همان عاملی است که در ماه ژوئن از فایلهای .dll برای اهداف مشابه استفاده میکند و احتمالاً پشت سایر حوادث نیز بوده است. به گفته مایکروسافت، DEV-0139 همان بازیگری است که شرکت امنیت سایبری Volexity با استفاده از نوعی بدافزار معروف به AppleJeus و MSI (نصب کننده مایکروسافت) به گروه لازاروس تحت حمایت دولتی کره شمالی مرتبط کرد. آژانس امنیت سایبری و امنیت زیرساخت فدرال ایالات متحده AppleJeus را در سال 2021 مستند کرد و آزمایشگاه کسپرسکی در سال 2020 در مورد آن گزارش داد.
مطالب مرتبط: گروه لازاروس کره شمالی ظاهراً پشت هک پل رونین است
وزارت خزانه داری آمریکا رسما گروه لازاروس را به برنامه تسلیحات هسته ای کره شمالی متصل کرد.