Lazarus-gruppen, en nordkoreansk hackerorganisasjon tidligere knyttet til kriminell aktivitet, har blitt koblet til en ny angrepsordning for å bryte systemer og stjele kryptovaluta fra tredjeparter. Kampanjen, som bruker en modifisert versjon av et allerede eksisterende skadelig programvareprodukt kalt Applejeus, bruker et kryptonettsted og til og med dokumenter for å få tilgang til systemer.
Modifisert Lazarus Malware brukte kryptonettsted som fasade
Volexity, et Washington DC-basert cybersikkerhetsfirma, har koblet Lazarus, en nordkoreansk hackergruppe som allerede er sanksjonert av amerikanske myndigheter, med en trussel som involverer bruk av et kryptonettsted for å infisere systemer for å stjele informasjon og kryptovaluta fra tredjeparter.
Et blogginnlegg utstedt 1. desember avslørte at Lazarus i juni registrerte et domene kalt "bloxholder.com", som senere vil bli etablert som en virksomhet som tilbyr tjenester for automatisk handel med kryptovaluta. Ved å bruke dette nettstedet som en fasade, ba Lazarus brukere om å laste ned en applikasjon som fungerte som en nyttelast for å levere Applejeus malware, rettet mot å stjele private nøkler og andre data fra brukernes systemer.
Den samme strategien har vært brukt av Lasarus før. Dette nye opplegget bruker imidlertid en teknikk som lar applikasjonen "forvirre og bremse" skadevareoppdagingsoppgaver.
Dokumentmakroer
Volexity fant også ut at teknikken for å levere denne skadelige programvaren til sluttbrukere endret seg i oktober. Metoden endret seg til å bruke Office-dokumenter, nærmere bestemt et regneark som inneholder makroer, et slags program innebygd i dokumentene designet for å installere Applejeus malware på datamaskinen.
Dokumentet, identifisert med navnet "OKX Binance & Huobi VIP fee comparision.xls," viser fordelene som hvert av VIP-programmene til disse børsene angivelig tilbyr på sine forskjellige nivåer. For å redusere denne typen angrep anbefales det å blokkere kjøringen av makroer i dokumenter, og også granske og overvåke opprettelsen av nye oppgaver i operativsystemet for å være oppmerksom på nye uidentifiserte oppgaver som kjører i bakgrunnen. Veloxity informerte imidlertid ikke om rekkeviddenivået denne kampanjen har oppnådd.
Lasarus var formelt tiltalt av det amerikanske justisdepartementet (DOJ) i februar 2021, som involverer en operatør fra gruppen knyttet til en nordkoreansk etterretningsorganisasjon, Reconnaissance General Bureau (RGB). Før det, i mars 2020, DOJ tiltalt to kinesiske statsborgere for å ha hjulpet til med hvitvasking av mer enn 100 millioner dollar i kryptovaluta knyttet til Lazarus' bedrifter.
Hva synes du om Lazarus sin siste kampanje for cryptocurrency malware? Fortell oss i kommentarfeltet nedenfor.
Bildekreditter: Shutterstock, Pixabay, Wiki Commons
Ansvarsfraskrivelse: Denne artikkelen er kun til informasjonsformål. Det er ikke et direkte tilbud eller oppfordring til et tilbud om å kjøpe eller selge, eller en anbefaling eller påtegning av produkter, tjenester eller selskaper. Bitcoin.com gir ikke investerings-, avgifts-, juridisk- eller regnskapsrådgivning. Verken selskapet eller forfatteren er ansvarlig, direkte eller indirekte, for skade eller tap forårsaket eller påstått å være forårsaket av eller i forbindelse med bruk av eller avhengighet av innhold, varer eller tjenester som er nevnt i denne artikkelen.
Kilde: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/