قسم الأمن في مايكروسوفت ، في خبر صحفى بالأمس ، 6 ديسمبر ، كشف النقاب عن هجوم استهدف الشركات الناشئة في مجال العملات الرقمية. لقد اكتسبوا الثقة من خلال دردشة Telegram وأرسلوا Excel بعنوان "OKX Binance و Huobi VIP مقارنة رسوم xls" ، والذي يحتوي على شفرة ضارة يمكنها الوصول إلى نظام الضحية عن بُعد.
قام فريق استخبارات التهديدات الأمنية بتعقب عنصر التهديد باعتباره DEV-0139. تمكن المخترق من التسلل إلى مجموعات الدردشة على Telegram ، تطبيق المراسلة ، متنكرا كممثلين لشركة استثمار تشفير وتظاهر بمناقشة رسوم التداول مع عملاء كبار الشخصيات في البورصات الكبرى.
كان الهدف هو خداع صناديق الاستثمار المشفرة لتنزيل ملف Excel. يحتوي هذا الملف على معلومات دقيقة حول هياكل الرسوم الخاصة بتبادلات العملات المشفرة الرئيسية. من ناحية أخرى ، يحتوي على ماكرو ضار يقوم بتشغيل ورقة Excel أخرى في الخلفية. بهذا ، يحصل هذا الفاعل السيئ على وصول بعيد إلى نظام الضحية المصاب.
مایکروسافت أوضح ، "الورقة الرئيسية في ملف Excel محمية بكلمة مرور dragon لتشجيع الهدف على تمكين وحدات الماكرو." وأضافوا ، "يتم بعد ذلك إلغاء حماية الورقة بعد تثبيت وتشغيل ملف Excel الآخر المخزن في Base64. من المحتمل أن يتم استخدام هذا لخداع المستخدم لتمكين وحدات الماكرو وليس إثارة الشكوك ".
وفقا للتقارير ، في أغسطس ، فإن العملات المشفرة أصابت حملة التعدين البرمجيات الخبيثة أكثر من 111,000 مستخدم.
معلومات التهديد تربط DEV-0139 بمجموعة التهديد الكورية الشمالية Lazarus.
إلى جانب ملف Excel الماكرو الضار ، قدم DEV-0139 أيضًا حمولة كجزء من هذا الخداع. هذه حزمة MSI لتطبيق CryptoDashboardV2 ، والتي تدفع نفس التدخل. أدى هذا إلى جعل العديد من المعلومات الاستخبارية تشير إلى أنهم أيضًا وراء هجمات أخرى باستخدام نفس الأسلوب لدفع الحمولات المخصصة.
قبل الاكتشاف الأخير لـ DEV-0139 ، كانت هناك هجمات تصيد احتيالية أخرى مشابهة اقترحت بعض فرق استخبارات التهديدات أنها قد تكون من أعمال DEV-0139.
أصدرت شركة استخبارات التهديدات Volexity أيضًا نتائجها حول هذا الهجوم خلال عطلة نهاية الأسبوع ، وربطته بـ لعازر الكوري الشمالي مجموعة تهديد.
وفقا ل Volexity ، كوريا الشمالية قراصنة استخدام جداول بيانات مقارنة رسوم تبادل التشفير الخبيثة لإسقاط برنامج AppleJeus الضار. هذا هو ما استخدموه في عمليات اختطاف العملات المشفرة وسرقة الأصول الرقمية.
كشفت Volexity أيضًا عن Lazarus باستخدام استنساخ موقع إلكتروني لمنصة تداول العملات المشفرة الآلي HaasOnline. يوزعون تطبيق Bloxholder الذي يعمل بدلاً من ذلك على نشر برامج AppleJeus الضارة المجمعة داخل تطبيق QTBitcoinTrader.
مجموعة Lazarus Group هي مجموعة تهديدات إلكترونية تعمل في كوريا الشمالية. كانت نشطة منذ حوالي عام 2009. وهي معروفة بمهاجمة أهداف بارزة في جميع أنحاء العالم ، بما في ذلك البنوك والمؤسسات الإعلامية والوكالات الحكومية.
يُشتبه أيضًا في أن المجموعة مسؤولة عن اختراق Sony Pictures 2014 وهجوم WannaCry ransomware في عام 2017.
المصدر: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/