مایکروسافت گزارش می دهد که یک عامل تهدید شناسایی شده است که استارت آپ های سرمایه گذاری ارزهای دیجیتال را هدف قرار می دهد. حزبی که مایکروسافت DEV-0139 را به عنوان یک شرکت سرمایه گذاری ارزهای دیجیتال در تلگرام معرفی کرده است و از یک فایل اکسل مجهز به بدافزار “خوب ساخته شده” برای آلوده کردن سیستم هایی استفاده می کند که سپس از راه دور به آنها دسترسی پیدا می کند.
این تهدید بخشی از روند حملات است که سطح بالایی از پیچیدگی را نشان می دهد. در این مورد، عامل تهدید، با شناسایی دروغین خود با پروفایل های جعلی کارکنان OKX، به گروه های تلگرامی ملحق شد که “برای تسهیل ارتباط بین مشتریان VIP و پلتفرم های مبادله ارزهای دیجیتال استفاده می شود.” نوشت در یک پست وبلاگ 6 دسامبر. مایکروسافت توضیح داد:
“ما هستیم […] مشاهده حملات پیچیدهتر که در آن عامل تهدید دانش و آمادگی بالایی را نشان میدهد و قبل از استقرار محمولهها برای جلب اعتماد هدف خود گام برمیدارد.
در ماه اکتبر، هدف برای پیوستن به یک گروه جدید دعوت شد و سپس در مورد یک سند اکسل که ساختارهای هزینه OKX، Binance و Huobi VIP را با هم مقایسه می کرد، درخواست بازخورد کرد. این سند اطلاعات دقیق و آگاهی بالایی از واقعیت تجارت کریپتو ارائه میکرد، اما بهطور نامرئی یک فایل مخرب .dll (کتابخانه پیوند پویا) را برای ایجاد یک درب پشتی در سیستم کاربر کنار گذاشت. سپس از هدف خواسته شد که فایل .dll خود را در طول بحث در مورد هزینه ها باز کند.
گروه بدنام Lazarus کره شمالی نسخه های جدید و بهبود یافته بدافزار دزد رمزارز AppleJeus خود را توسعه داده است که نشان دهنده آخرین تلاش رژیم برای جمع آوری بودجه برای برنامه های تسلیحاتی کیم جونگ اون است. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
– صندلی CSIS کره (@CSISKoreaChair) 6 دسامبر 2022
خود تکنیک حمله مدتهاست شناخته شده است. مایکروسافت پیشنهاد کرد که عامل تهدید همان عاملی است که در ماه ژوئن از فایلهای .dll برای اهداف مشابه استفاده میکند و احتمالاً پشت سایر حوادث نیز بوده است. به گفته مایکروسافت، DEV-0139 همان بازیگر شرکت امنیت سایبری Volexity است مرتبط به گروه لازاروس تحت حمایت دولتی کره شمالی، با استفاده از یک نوع بدافزار معروف به AppleJeus و MSI (نصب کننده مایکروسافت). آژانس امنیت سایبری و امنیت زیرساخت فدرال ایالات متحده ثبت شده AppleJeus در سال 2021 و آزمایشگاه های کسپرسکی گزارش شده است روی آن در سال 2020
مربوط: گفته می شود که گروه لازاروس کره شمالی مسئول هک پل رونین است
وزارت خزانه داری آمریکا به طور رسمی وصل شده است گروه لازاروس به برنامه تسلیحات هسته ای کره شمالی.
