Перейти к содержимому



Фотография

Microsoft разоблачает хакера, связанного с Северной Кореей

microsoft разоблачает хакера связанного с северной кореей

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Kamaljolean22

Kamaljolean22

    Любитель

  • Пользователи
  • PipPipPip
  • 15 сообщений

Отправлено 07 Декабрь 2022 - 13:51

Подразделение безопасности Microsoft в своем пресс-релизе вчера, 6 декабря, раскрыло атаку, нацеленную на криптовалютные стартапы. Злоумышленники входили в доверие через чат Telegram и отправляли файл Excel под названием «Сравнение комиссий OKX Binance и Huobi VIP.xls», который содержал вредоносный код, который мог удаленно получить доступ к системе жертвы.

Группа разведки угроз безопасности отследила злоумышленника под ником DEV-0139. Хакер смог проникнуть в чаты Telegram, выдавая себя за представителей криптоинвестиционной компании и притворяясь, что обсуждает торговые комиссии с VIP-клиентами крупных бирж.

Цель состояла в том, чтобы заставить криптоинвестиционные фонды загрузить файл Excel. Этот файл содержит точную информацию о структуре комиссий основных бирж криптовалют. С другой стороны, у него есть вредоносный макрос, который запускает другой лист Excel в фоновом режиме. Таким образом, злоумышленник получает удаленный доступ к зараженной системе жертвы.

Microsoft объяснили: «Основной лист в файле Excel защищен паролем-драконом, чтобы побудить цель включить макросы». Они добавили: «Затем лист становится незащищенным после установки и запуска другого файла Excel, хранящегося в Base64. Скорее всего, это используется, чтобы заставить пользователя включить макросы и не вызывать подозрений».

Согласно сообщениям, в августе кампания вредоносного ПО для майнинга криптовалюты заразила более 111 000 пользователей.

Разведка угроз связывает DEV-0139 с северокорейской группой угроз Lazarus.
Наряду с вредоносным файлом макроса Excel, DEV-0139 также доставил полезную загрузку в рамках этой уловки, это пакет MSI для приложения CryptoDashboardV2. Это заставило предположить, что они также стоят за другими атаками, использующими ту же технику для передачи пользовательских полезных загрузок.

До недавнего обнаружения DEV-0139 были и другие подобные фишинговые атаки, которые, по мнению некоторых групп по анализу угроз, могли быть работой DEV-0139.

Компания Volexity, занимающаяся разведкой угроз, также опубликовала свои выводы об этой атаке на выходных, связав ее с северокорейской группой Lazarus.

Согласно Volexity, северокорейские хакеры используют аналогичные вредоносные таблицы сравнения комиссий по криптобиржам, чтобы загрузить вредоносное ПО AppleJeus. Это то, что они использовали в операциях по получению криптовалюты и краже цифровых активов.

Volexity также обнаружила Lazarus с помощью клона веб-сайта для автоматизированной платформы для торговли криптовалютой HaasOnline. Они распространяют троянизированное приложение Bloxholder, которое вместо этого развертывает вредоносное ПО AppleJeus, связанное с приложением QTBitcoinTrader.

Lazarus Group — группа хакеров, действующая в Северной Корее. Они были активны примерно с 2009 года. Они известны атаками на высокопоставленные цели по всему миру, включая банки, медиа-организации и правительственные учреждения.
Группа также подозревается в причастности к взлому Sony Pictures в 2014 году и атаке программы-вымогателя WannaCry в 2017 году



Темы с аналогичным тегами microsoft разоблачает хакера связанного с северной кореей


Яндекс.Метрика Top.Mail.Ru Analysis Счетчик ИКС
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal