Microsoft의 보안 부서는 릴리스를 누르십시오 어제 6월 XNUMX일 암호화폐 스타트업을 대상으로 한 공격이 발견되었습니다. 이들은 텔레그램 채팅을 통해 신뢰를 얻어 피해자 시스템에 원격으로 접근할 수 있는 악성코드가 포함된 'OKX 바이낸스와 후오비 VIP 수수료 비교.xls'라는 제목의 엑셀을 보냈다.
보안 위협 인텔리전스 팀은 위협 행위자를 DEV-0139로 추적했습니다. 해커는 메시징 앱인 Telegram의 채팅 그룹에 침투하여 암호화 투자 회사의 대표로 가장하고 주요 거래소의 VIP 고객과 거래 수수료를 논의하는 척할 수 있었습니다.
목표는 암호 화폐 투자 자금을 속여 Excel 파일을 다운로드하도록 하는 것이었습니다. 이 파일에는 주요 암호화폐 거래소의 수수료 구조에 대한 정확한 정보가 포함되어 있습니다. 반면 백그라운드에서 다른 Excel 시트를 실행하는 악성 매크로가 있습니다. 이를 통해 이 악의적인 행위자는 피해자의 감염된 시스템에 대한 원격 액세스 권한을 얻습니다.
Microsoft “액셀 파일의 메인 시트는 대상이 매크로를 활성화하도록 유도하기 위해 비밀번호 용으로 보호되어 있습니다.” 그들은 “Base64에 저장된 다른 Excel 파일을 설치하고 실행하면 시트가 보호되지 않습니다. 이것은 매크로를 활성화하고 의심을 일으키지 않도록 사용자를 속이는 데 사용되는 것 같습니다.”
보도에 따르면 지난 XNUMX월 암호 화폐 마이닝 맬웨어 캠페인은 111,000명 이상의 사용자를 감염시켰습니다.
위협 인텔리전스는 DEV-0139를 북한 라자루스 위협 그룹에 연결합니다.
악성 매크로 Excel 파일과 함께 DEV-0139도 이 속임수의 일부로 페이로드를 전달했습니다. 이것은 동일한 방해를 지불하는 CryptoDashboardV2 앱용 MSI 패키지입니다. 이로 인해 사용자 지정 페이로드를 푸시하기 위해 동일한 기술을 사용하는 다른 공격의 배후에 있다고 여러 인텔리전스가 제안했습니다.
최근 DEV-0139가 발견되기 전에 일부 위협 인텔리전스 팀이 DEV-0139의 작업일 수 있다고 제안한 다른 유사한 피싱 공격이 있었습니다.
위협 인텔리전스 회사인 Volexity도 주말 동안 이 공격에 대한 조사 결과를 발표했습니다. 북한 나사로 위협 그룹.
볼렉시티에 따르면 북한 해커 유사한 악성 암호화폐 거래소 수수료 비교 스프레드시트를 사용하여 AppleJeus 악성코드를 삭제합니다. 이것이 그들이 암호 화폐 하이재킹 및 디지털 자산 절도 작업에 사용한 것입니다.
Volexity는 또한 HaasOnline 자동 암호화 거래 플랫폼용 웹사이트 클론을 사용하여 Lazarus를 발견했습니다. 그들은 대신 QTBitcoinTrader 앱 내에 번들로 포함된 AppleJeus 맬웨어를 배포하는 트로이 목마화된 Bloxholder 앱을 배포합니다.
Lazarus Group은 북한에서 활동하는 사이버 위협 그룹입니다. 2009년경부터 활동을 시작했습니다. 은행, 언론사, 정부 기관 등 전 세계적으로 주목받는 대상을 공격하는 것으로 악명이 높습니다.
이 그룹은 또한 2014년 Sony Pictures 해킹과 2017년 WannaCry 랜섬웨어 공격에 대한 책임이 있는 것으로 의심됩니다.
출처: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/