D'Sécherheetsdivisioun vu Microsoft, an engem Pressecommuniqué gëschter, 6. Dezember, opgedeckt en Ugrëff gezielt cryptocurrency Startups. Si kruten Vertrauen duerch Telegram Chat an hunn en Excel mam Titel "OKX Binance and Huobi VIP Fee comparison.xls" geschéckt, deen e béise Code enthält, deen op de System vum Affer op afstand zougräifen konnt.
D'Sécherheetsbedrohungsintelligenz Team huet de Bedrohungsakteur als DEV-0139 verfollegt. Den Hacker konnt Chatgruppen op Telegram infiltréieren, d'Messaging-App, sech als Vertrieder vun enger Krypto-Investitiounsfirma verkleeden a sech virstellen, Handelskäschte mat VIP Clienten vu groussen Austausch ze diskutéieren.
D'Zil war d'Krypto Investitiounsfongen ze tricken fir eng Excel Datei erofzelueden. Dëse Fichier enthält genee Informatioun iwwer d'Fraisestrukture vu grousse Krypto-Währungenaustausch. Op der anerer Säit huet et e béiswëlleg Makro deen en aneren Excel Blat am Hannergrond leeft. Mat dësem kritt dëse schlechte Schauspiller Fernzougang zum infizéierte System vum Affer.
Microsoft erkläert, "D'Haaptblatt an der Excel Datei ass geschützt mam Passwuert Draach fir d'Zil ze encouragéieren fir d'Makroen z'aktivéieren." Si hunn bäigefüügt, "D'Blat ass dann ongeschützt nodeems Dir déi aner Excel-Datei, déi am Base64 gespäichert ass, installéiert a lafen. Dëst gëtt méiglecherweis benotzt fir de Benotzer ze tricken fir Makroen z'aktivéieren an net Verdacht opzehiewen.
No Berichter, am August, der cryptocurrency Mining Malware Kampagne infizéiert méi wéi 111,000 Benotzer.
Bedrohungsintelligenz verbënnt DEV-0139 mat der nordkoreanescher Lazarus Bedrohungsgrupp.
Zesumme mat der béiswëlleger Macro Excel-Datei huet DEV-0139 och eng Notzlaascht als Deel vun dëser Trickerie geliwwert. Dëst ass e MSI Package fir eng CryptoDashboardV2 App, déi déiselwecht Obtrusioun ausbezuelt. Dëst huet e puer Intelligenz gemaach datt se och hannert aner Attacke stinn, déi déiselwecht Technik benotzen fir personaliséiert Notzlaascht ze drécken.
Virun der rezenter Entdeckung vum DEV-0139 waren et aner ähnlech Phishing-Attacke ginn, déi e puer Bedrohungsintelligenzteams virgeschloen hunn d'Aarbechte vum DEV-0139 ze sinn.
D'Drohungsintelligenzfirma Volexity huet och iwwer de Weekend seng Erkenntnisser iwwer dësen Attack verëffentlecht, a verbënnt et mat der Nordkoreanesche Lazarus Bedrohung Grupp.
No Volexity, der Nordkoreaner Hacker benotzt ähnlech béiswëlleg Krypto-Austauschgebührvergleichspreadsheets fir den AppleJeus Malware ze falen. Dëst ass wat se an cryptocurrency Hijacking an digital Asset Déif Operatiounen benotzt hunn.
Volexity huet och Lazarus entdeckt mat engem Websäit Klon fir d'HaasOnline automatiséiert Krypto Handelsplattform. Si verdeelen eng trojaniséiert Bloxholder App, déi amplaz AppleJeus Malware an der QTBitcoinTrader App gebündelt gëtt.
De Lazarus Group ass eng Cyber Bedrohungsgrupp déi an Nordkorea operéiert. Et ass aktiv zënter ongeféier 2009. Et ass bekannt fir héichprofiléiert Ziler weltwäit z'attackéieren, dorënner Banken, Medienorganisatiounen a Regierungsagenturen.
D'Grupp gëtt och verdächtegt verantwortlech ze sinn fir den 2014 Sony Pictures Hack an de WannaCry Ransomware Attack vun 2017.
Quell: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/