마이크로소프트는 암호화폐 투자 스타트업을 표적으로 삼는 위협 행위자가 식별되었다고 보고했습니다. Microsoft는 Telegram에서 암호화폐 투자 회사로 위장한 DEV-0139라는 이름의 파티를 만들고 "잘 만들어진" 맬웨어로 무기화된 Excel 파일을 사용하여 원격으로 액세스한 시스템을 감염시켰습니다.
위협은 높은 수준의 정교함을 보여주는 공격 경향의 일부입니다. 이 경우 위협 행위자는 OKX 직원의 가짜 프로필로 자신을 거짓으로 식별하고 "VIP 클라이언트와 암호화폐 거래소 플랫폼 간의 통신을 용이하게 하는 데 사용되는" Telegram 그룹인 Microsoft에 가입했습니다. 쓴 6월 XNUMX일자 블로그 게시물에서. 마이크로소프트는 다음과 같이 설명했습니다.
"우리는 위협 행위자가 페이로드를 배포하기 전에 대상의 신뢰를 얻기 위한 조치를 취하면서 훌륭한 지식과 준비를 보여주는 보다 복잡한 공격을 보고 있습니다."
XNUMX월에 대상은 새로운 그룹에 가입하도록 초대받은 후 OKX, Binance 및 Huobi VIP 수수료 구조를 비교한 Excel 문서에 대한 피드백을 요청했습니다. 이 문서는 암호화폐 거래의 현실에 대한 정확한 정보와 높은 인식을 제공했지만 사용자 시스템에 백도어를 생성하기 위해 악성 .dll(Dynamic Link Library) 파일을 눈에 보이지 않게 사이드로드했습니다. 그런 다음 대상은 수수료에 대한 논의 과정에서 .dll 파일을 직접 열도록 요청받았습니다.
북한의 악명 높은 라자루스 그룹(Lazarus Group)이 암호화폐를 훔치는 악성코드인 AppleJeus의 새롭고 개선된 버전을 개발하여 김정은의 무기 프로그램을 위한 자금을 모으려는 정권의 최근 시도를 표시했습니다. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS 한국 회장 (@CSISKoreaChair) 2022 년 12 월 6 일
공격 기술 그 자체 오랫동안 알려져 왔다. 마이크로소프트는 위협 행위자가 0139월에 유사한 목적으로 .dll 파일을 사용하여 발견된 것과 동일하며 아마도 다른 사건의 배후에 있을 것이라고 제안했습니다. Microsoft에 따르면 DEV-XNUMX는 사이버 보안 회사인 Volexity와 동일한 행위자입니다. 연결 AppleJeus와 MSI(Microsoft 설치 프로그램)로 알려진 악성 코드 변종을 사용하여 북한의 국가 지원을 받는 Lazarus Group에 보냅니다. 미국 연방 사이버 보안 및 인프라 보안국 문서화 된 2021년 AppleJeus와 Kaspersky Labs 신고 2020년에 그것에.
관련 : 로닌 브릿지 해킹 배후로 의심되는 북한 나사로 그룹
미국 재무부 공식적으로 연결되었습니다 Lazarus Group은 북한의 핵무기 프로그램에.
출처: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick