ذكرت Microsoft أنه تم تحديد جهة فاعلة تهدد تستهدف الشركات الناشئة في مجال الاستثمار في العملات المشفرة. أطلقت شركة Microsoft اسم DEV-0139 على أنها شركة استثمار للعملات المشفرة على Telegram واستخدمت ملف Excel مُسلحًا ببرامج ضارة "جيدة التصميم" لإصابة الأنظمة التي تم الوصول إليها بعد ذلك عن بُعد.
التهديد هو جزء من اتجاه في الهجمات يظهر مستوى عال من التطور. في هذه الحالة ، قام ممثل التهديد ، بتعريف نفسه بشكل خاطئ بملفات تعريف مزيفة لموظفي OKX ، وانضم إلى مجموعات Telegram "المستخدمة لتسهيل الاتصال بين عملاء VIP ومنصات تبادل العملات المشفرة ،" كتب في منشور مدونة بتاريخ 6 ديسمبر. أوضحت Microsoft:
"نحن [...] نشهد هجمات أكثر تعقيدًا حيث يُظهر ممثل التهديد معرفة واستعدادًا كبيرين ، ويتخذ خطوات لكسب ثقة الهدف قبل نشر الحمولات."
في أكتوبر ، تمت دعوة الشخص المستهدف للانضمام إلى مجموعة جديدة ثم طُلب منه إبداء الملاحظات على مستند Excel يقارن هياكل رسوم OKX و Binance و Huobi VIP. قدم المستند معلومات دقيقة وإدراكًا كبيرًا لواقع تداول العملات المشفرة ، ولكنه أيضًا قام بشكل غير مرئي بتحميل ملف dll (مكتبة الارتباط الديناميكي) الخبيث لإنشاء باب خلفي في نظام المستخدم. ثم طُلب من الشخص المستهدف فتح ملف dll بأنفسه أثناء مناقشة الرسوم.
طورت مجموعة Lazarus Group سيئة السمعة في كوريا الديمقراطية نسخًا جديدة ومحسّنة من برنامج AppleJeus الخبيث لسرقة العملات المشفرة ، وهو ما يمثل المحاولة الأخيرة للنظام لجمع الأموال لبرامج أسلحة Kim Jong-un. تضمين التغريدة تضمين التغريدة https://t.co/LjimOmPI5s
- كرسي CSIS Korea (CSISKoreaChair) 6 كانون الأول، 2022
تقنية الهجوم نفسها منذ فترة طويلة معروفة. اقترحت Microsoft أن الفاعل هو نفسه الذي تم العثور عليه باستخدام ملفات dll. لأغراض مماثلة في يونيو ، وربما كان ذلك وراء حوادث أخرى أيضًا. وفقًا لمايكروسوفت ، فإن DEV-0139 هو نفس ممثل شركة الأمن السيبراني Volexity مرتبط لمجموعة Lazarus Group التي ترعاها الدولة في كوريا الشمالية ، باستخدام نوع من البرامج الضارة المعروفة باسم AppleJeus و MSI (مثبت Microsoft). وكالة الأمن السيبراني وأمن البنية التحتية الفيدرالية الأمريكية موثق AppleJeus في عام 2021 ، و Kaspersky Labs وذكرت عليها في 2020.
هذا الموضوع ذو علاقة بـ: يُزعم أن مجموعة لازاروس الكورية الشمالية وراء اختراق جسر رونين
وزارة الخزانة الأمريكية تم الاتصال رسميًا مجموعة لازاروس لبرنامج الأسلحة النووية لكوريا الشمالية.
المصدر: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick