Microsoftтун коопсуздук бөлүмү, а пресс-релиз кечээ, 6-декабрда, cryptocurrency стартаптарга багытталган чабуулдун бетин ачты. Алар Telegram чаты аркылуу ишенимге ээ болуп, жабырлануучунун тутумуна алыстан кире турган зыяндуу кодду камтыган “OKX Binance жана Huobi VIP fee comparison.xls” аттуу Excel жөнөтүштү.
Коопсуздук коркунучунун чалгын тобу DEV-0139 катары коркунуч актерун байкады. Хакер крипто-инвестициялык компаниянын өкүлдөрүнүн кейпин кийип, ири биржалардын VIP кардарлары менен соода акысын талкуулап жаткандай түр көрсөтүп, кабарлашуу колдонмосу Telegramдагы чат топторуна кирип алган.
Максат крипто инвестициялык каражаттарды Excel файлын жүктөп алуу үчүн алдоо болгон. Бул файл негизги криптовалюталык алмашуулардын акы түзүмдөрү жөнүндө так маалыматты камтыйт. Башка жагынан алганда, анын фондо башка Excel барагын иштеткен зыяндуу макросу бар. Муну менен бул жаман актер жабырлануучунун жуккан системасына алыстан кире алат.
Microsoft деп түшүндүрдү: "Excel файлындагы негизги барак макросторду иштетүү үчүн максатты шыктандыруу үчүн сырсөз ажыдаар менен корголгон." Алар кошумчалашты: "Барак Base64 ичинде сакталган башка Excel файлын орнотуп, иштеткенден кийин корголбой калат. Бул макросторду иштетүү жана шектенүүнү жаратпоо үчүн колдонуучуну алдоо үчүн колдонулушу мүмкүн.
Маалыматка ылайык, август айында cryptocurrency Майнинг кесепеттүү кампаниясы 111,000 XNUMXден ашык колдонуучуга жуккан.
Коркунучтун чалгындоо кызматы DEV-0139ду Түндүк Кореянын Лазарус коркунуч тобу менен байланыштырат.
Зыяндуу макро Excel файлы менен бирге, DEV-0139 бул куулуктун бир бөлүгү катары пайдалуу жүктү да жеткирген. Бул CryptoDashboardV2 колдонмосу үчүн MSI пакети, ал ошол эле тоскоолдуктарды төлөйт. Бул бир нече чалгындоо кызматы алар башка чабуулдардын артында да ошол эле ыкманы колдонуп, ыңгайлаштырылган жүктөрдү түртүп жатат деген ойго түрттү.
Жакында DEV-0139 табылганга чейин, башка ушул сыяктуу фишингдик чабуулдар болгон, аларды коркунучка каршы чалгындоо топтору DEV-0139 иштеши мүмкүн деп божомолдошот.
Коркунучтуу чалгындоочу Volexity компаниясы да дем алыш күндөрү бул чабуул тууралуу өз корутундусун жарыялады. Түндүк Корея Лазары коркунуч тобу.
Volexity айтымында, түндүк кореялык Хакерлер AppleJeus кесепеттүү программасын таштоо үчүн ушул сыяктуу зыяндуу крипто-алмашуу акысын салыштыруу таблицаларын колдонуңуз. Бул алар cryptocurrency уурдоо жана санариптик мүлктү уурдоо операцияларында колдонгон.
Volexity ошондой эле HaasOnline автоматташтырылган крипто соода платформасы үчүн веб-сайт клонунун жардамы менен Лазарды ачты. Алар троянизацияланган Bloxholder колдонмосун таратышат, анын ордуна QTBitcoinTrader тиркемесинин ичинде топтолгон AppleJeus кесепеттүү программаларын жайгаштырышат.
Lazarus Group Түндүк Кореяда иштеген кибер коркунучтуу топ. Ал болжол менен 2009-жылдан бери активдүү. Ал дүйнө жүзү боюнча, анын ичинде банктарга, медиа уюмдарга жана мамлекеттик мекемелерге чабуул коюу менен белгилүү.
Топ ошондой эле 2014-жылы Sony Pictures бузулушу жана 2017-жылдагы WannaCry ransomware чабуулу үчүн жооптуу деп шектелүүдө.
Булак: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/