Microsoft รายงานว่ามีการระบุผู้คุกคามที่กำหนดเป้าหมายการเริ่มต้นการลงทุน cryptocurrency บุคคลที่ Microsoft ได้ขนานนาม DEV-0139 ว่าเป็นบริษัทด้านการลงทุน cryptocurrency บน Telegram และใช้ไฟล์ Excel ที่มีมัลแวร์ "ที่ออกแบบมาอย่างดี" เพื่อแพร่ระบาดในระบบที่เข้าถึงได้จากระยะไกล
ภัยคุกคามเป็นส่วนหนึ่งของแนวโน้มในการโจมตีที่แสดงถึงความซับซ้อนในระดับสูง ในกรณีนี้ ผู้คุกคามซึ่งระบุตัวตนปลอมด้วยโปรไฟล์ปลอมของพนักงาน OKX ได้เข้าร่วมกลุ่ม Telegram “ใช้เพื่ออำนวยความสะดวกในการสื่อสารระหว่างไคลเอนต์ VIP และแพลตฟอร์มการแลกเปลี่ยนสกุลเงินดิจิตอล” Microsoft เขียน ในบล็อกโพสต์วันที่ 6 ธันวาคม Microsoft อธิบายว่า:
“เรา […] มองเห็นการโจมตีที่ซับซ้อนมากขึ้น ซึ่งผู้คุกคามแสดงความรู้และการเตรียมการที่ดี ดำเนินการเพื่อให้ได้รับความไว้วางใจจากเป้าหมายก่อนที่จะปรับใช้เพย์โหลด”
ในเดือนตุลาคม เป้าหมายได้รับเชิญให้เข้าร่วมกลุ่มใหม่ จากนั้นขอความคิดเห็นเกี่ยวกับเอกสาร Excel ที่เปรียบเทียบโครงสร้างค่าธรรมเนียม VIP ของ OKX, Binance และ Huobi เอกสารดังกล่าวให้ข้อมูลที่ถูกต้องและมีความตระหนักสูงเกี่ยวกับความเป็นจริงของการซื้อขาย crypto แต่ก็ยังมีการไซด์โหลดไฟล์ .dll (Dynamic Link Library) ที่เป็นอันตรายอย่างมองไม่เห็นเพื่อสร้างแบ็คดอร์เข้าสู่ระบบของผู้ใช้ เป้าหมายถูกขอให้เปิดไฟล์ .dll ด้วยตนเองในระหว่างการอภิปรายเรื่องค่าธรรมเนียม
กลุ่ม Lazarus ที่น่าอับอายของ DPRK ได้พัฒนาเวอร์ชันใหม่และปรับปรุงของมัลแวร์ขโมยสกุลเงินดิจิตอล AppleJeus ซึ่งเป็นความพยายามล่าสุดของรัฐบาลพม่าในการรวบรวมเงินทุนสำหรับโครงการอาวุธของ Kim Jong-un @nknewsorg @อีธานจิเวลล์ https://t.co/LjimOmPI5s
— เก้าอี้ CSIS เกาหลี (@CSISKoreaChair) December 6, 2022
เทคนิคการโจมตีนั่นเอง รู้จักกันมานาน. Microsoft แนะนำว่าผู้ก่อภัยคุกคามนั้นเป็นคนเดียวกับที่พบโดยใช้ไฟล์ .dll เพื่อวัตถุประสงค์ที่คล้ายคลึงกันในเดือนมิถุนายน และนั่นอาจอยู่เบื้องหลังเหตุการณ์อื่นๆ เช่นกัน จากข้อมูลของ Microsoft DEV-0139 เป็นตัวแสดงเดียวกันกับ Volexity บริษัทรักษาความปลอดภัยทางไซเบอร์ ที่เชื่อมโยง ไปยัง Lazarus Group ที่สนับสนุนโดยรัฐของเกาหลีเหนือ โดยใช้มัลแวร์ที่รู้จักกันในชื่อ AppleJeus และ MSI (โปรแกรมติดตั้งของ Microsoft) Cybersecurity and Infrastructure Security Agency ของรัฐบาลกลางสหรัฐอเมริกา เอกสาร AppleJeus ในปี 2021 และ Kaspersky Labs รายงาน ในปี 2020
ที่เกี่ยวข้อง Lazarus Group ของเกาหลีเหนือถูกกล่าวหาว่าอยู่เบื้องหลังการแฮ็ก Ronin Bridge
กระทรวงการคลังสหรัฐ ได้เชื่อมต่ออย่างเป็นทางการ Lazarus Group ถึงโครงการอาวุธนิวเคลียร์ของเกาหลีเหนือ
ที่มา: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick