แผนกรักษาความปลอดภัยของ Microsoft ในก กดปล่อย เมื่อวานนี้ 6 ธันวาคม ค้นพบการโจมตีที่กำหนดเป้าหมายการเริ่มต้นระบบ cryptocurrency พวกเขาได้รับความไว้วางใจผ่านการแชททางโทรเลข และส่ง Excel ชื่อ “OKX Binance and Huobi VIP fee comparison.xls” ซึ่งมีโค้ดอันตรายที่สามารถเข้าถึงระบบของเหยื่อได้จากระยะไกล
ทีมข่าวกรองด้านภัยคุกคามด้านความปลอดภัยได้ติดตามผู้คุกคามในชื่อ DEV-0139 แฮ็กเกอร์สามารถแทรกซึมเข้าไปในกลุ่มแชทบน Telegram ซึ่งเป็นแอปส่งข้อความ ปลอมตัวเป็นตัวแทนของบริษัทการลงทุนด้านคริปโต และแสร้งทำเป็นพูดคุยเรื่องค่าธรรมเนียมการซื้อขายกับลูกค้า VIP ของการแลกเปลี่ยนที่สำคัญ
เป้าหมายคือการหลอกให้เงินลงทุนในการเข้ารหัสลับให้ดาวน์โหลดไฟล์ Excel ไฟล์นี้มีข้อมูลที่ถูกต้องเกี่ยวกับโครงสร้างค่าธรรมเนียมของการแลกเปลี่ยน cryptocurrency ที่สำคัญ ในทางกลับกัน มันมีแมโครที่เป็นอันตรายที่เรียกใช้แผ่นงาน Excel อื่นในพื้นหลัง ด้วยเหตุนี้ ผู้ร้ายรายนี้จึงสามารถเข้าถึงระบบที่ติดไวรัสของเหยื่อได้จากระยะไกล
ไมโครซอฟท์ อธิบายว่า “แผ่นงานหลักในไฟล์ Excel ได้รับการป้องกันด้วยมังกรรหัสผ่านเพื่อกระตุ้นให้เป้าหมายเปิดใช้มาโคร” พวกเขากล่าวเสริมว่า "แผ่นงานจะไม่ได้รับการป้องกันหลังจากติดตั้งและเรียกใช้ไฟล์ Excel อื่นที่จัดเก็บไว้ใน Base64 ซึ่งมีแนวโน้มที่จะใช้เพื่อหลอกผู้ใช้ให้เปิดใช้งานมาโครและไม่ก่อให้เกิดความสงสัย”
ตามรายงานเมื่อเดือนสิงหาคมที่ผ่านมา cryptocurrency แคมเปญมัลแวร์การขุดติดเชื้อมากกว่า 111,000 ผู้ใช้
หน่วยข่าวกรองภัยคุกคามเชื่อมต่อ DEV-0139 กับกลุ่มภัยคุกคาม Lazarus ของเกาหลีเหนือ
นอกเหนือจากไฟล์มาโคร Excel ที่เป็นอันตรายแล้ว DEV-0139 ยังส่งเพย์โหลดซึ่งเป็นส่วนหนึ่งของกลอุบายนี้ นี่เป็นแพ็คเกจ MSI สำหรับแอพ CryptoDashboardV2 ที่จ่ายสิ่งกีดขวางแบบเดียวกัน สิ่งนี้ทำให้หน่วยสืบราชการลับหลายแห่งแนะนำว่าพวกเขาอยู่เบื้องหลังการโจมตีอื่น ๆ โดยใช้เทคนิคเดียวกันเพื่อผลักดัน payloads ที่กำหนดเอง
ก่อนที่จะมีการค้นพบ DEV-0139 เมื่อไม่นานมานี้ มีการโจมตีแบบฟิชชิ่งอื่นๆ ที่คล้ายกัน ซึ่งทีมข่าวกรองภัยคุกคามบางทีมแนะนำว่าอาจเป็นผลงานของ DEV-0139
บริษัทข่าวกรองด้านภัยคุกคามอย่าง Volexity ได้เปิดเผยข้อค้นพบเกี่ยวกับการโจมตีนี้ในช่วงสุดสัปดาห์ที่ผ่านมา โดยเชื่อมโยงกับ ลาซารัสเกาหลีเหนือ กลุ่มภัยคุกคาม
จากข้อมูลของ Volexity ชาวเกาหลีเหนือ แฮกเกอร์ ใช้สเปรดชีตการเปรียบเทียบค่าธรรมเนียมการแลกเปลี่ยน crypto ที่เป็นอันตรายที่คล้ายกันเพื่อกำจัดมัลแวร์ AppleJeus นี่คือสิ่งที่พวกเขาใช้ในการจี้เงินดิจิตอลและการโจรกรรมสินทรัพย์ดิจิทัล
นอกจากนี้ Volexity ยังค้นพบ Lazarus โดยใช้การโคลนเว็บไซต์สำหรับแพลตฟอร์มการซื้อขาย crypto อัตโนมัติของ HaasOnline พวกเขาแจกจ่ายแอป Bloxholder ที่ถูกโทรจันซึ่งจะติดตั้งมัลแวร์ AppleJeus ที่รวมอยู่ในแอป QTBitcoinTrader แทน
Lazarus Group เป็นกลุ่มภัยคุกคามทางไซเบอร์ที่ปฏิบัติการในเกาหลีเหนือ เปิดใช้งานมาตั้งแต่ปี 2009 มีชื่อเสียงในด้านการโจมตีเป้าหมายที่มีชื่อเสียงทั่วโลก รวมถึงธนาคาร องค์กรสื่อ และหน่วยงานรัฐบาล
กลุ่มนี้ยังสงสัยว่าเป็นผู้รับผิดชอบการแฮ็ก Sony Pictures ในปี 2014 และการโจมตี WannaCry ransomware ในปี 2017
ที่มา: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/