Ο όμιλος Lazarus της Βόρειας Κορέας συνδέθηκε με νέο σύστημα εισβολής κρυπτονομισμάτων
Hack

Ο όμιλος Lazarus της Βόρειας Κορέας συνδέθηκε με νέο σύστημα εισβολής κρυπτονομισμάτων

Η ομάδα Lazarus, μια βορειοκορεατική οργάνωση χάκερ που είχε συνδεθεί στο παρελθόν με εγκληματική δραστηριότητα, έχει συνδεθεί με ένα νέο σχέδιο επίθεσης για παραβίαση συστημάτων και κλοπή κρυπτονομισμάτων από τρίτους. Η καμπάνια, η οποία χρησιμοποιεί μια τροποποιημένη έκδοση ενός ήδη υπάρχοντος προϊόντος κακόβουλου λογισμικού που ονομάζεται Applejeus, χρησιμοποιεί έναν ιστότοπο κρύπτο και ακόμη και έγγραφα για να αποκτήσει πρόσβαση στα συστήματα.

Τροποποιημένο κακόβουλο λογισμικό Lazarus που χρησιμοποίησε το Crypto Site ως πρόσοψη

Η Volexity, μια εταιρεία κυβερνοασφάλειας που εδρεύει στην Ουάσιγκτον, έχει συνδέσει τη Lazarus, μια βορειοκορεατική ομάδα hacking που έχει ήδη κυρώσεις από την κυβέρνηση των ΗΠΑ, με μια απειλή που περιλαμβάνει τη χρήση ενός ιστότοπου κρύπτο για τη μόλυνση συστημάτων με σκοπό την κλοπή πληροφοριών και κρυπτονομισμάτων από τρίτους.

Μια ανάρτηση ιστολογίου που δημοσιεύτηκε την 1η Δεκεμβρίου αποκάλυψε ότι τον Ιούνιο, η Lazarus κατοχύρωσε έναν τομέα που ονομάζεται “bloxholder.com”, ο οποίος αργότερα θα καθιερωθεί ως επιχείρηση που προσφέρει υπηρεσίες αυτόματης διαπραγμάτευσης κρυπτονομισμάτων. Χρησιμοποιώντας αυτόν τον ιστότοπο ως πρόσοψη, ο Lazarus παρότρυνε τους χρήστες να κατεβάσουν μια εφαρμογή που χρησίμευε ως ωφέλιμο φορτίο για την παράδοση του κακόβουλου λογισμικού Applejeus, με στόχο την κλοπή ιδιωτικών κλειδιών και άλλων δεδομένων από τα συστήματα των χρηστών.

Την ίδια στρατηγική είχε χρησιμοποιήσει και ο Λάζαρος στο παρελθόν. Ωστόσο, αυτό το νέο σχήμα χρησιμοποιεί μια τεχνική που επιτρέπει στην εφαρμογή να «μπερδεύει και να επιβραδύνει» τις εργασίες ανίχνευσης κακόβουλου λογισμικού.

Μακροεντολές εγγράφων

Το Volexity διαπίστωσε επίσης ότι η τεχνική παράδοσης αυτού του κακόβουλου λογισμικού στους τελικούς χρήστες άλλαξε τον Οκτώβριο. Η μέθοδος μεταμορφώθηκε ώστε να χρησιμοποιεί έγγραφα του Office, συγκεκριμένα ένα υπολογιστικό φύλλο που περιέχει μακροεντολές, ένα είδος προγράμματος που είναι ενσωματωμένο στα έγγραφα που έχουν σχεδιαστεί για την εγκατάσταση του κακόβουλου λογισμικού Applejeus στον υπολογιστή.

Το έγγραφο, που προσδιορίζεται με το όνομα “OKX Binance & Huobi VIP fee comparision.xls”, εμφανίζει τα πλεονεκτήματα που υποτίθεται ότι προσφέρει κάθε ένα από τα προγράμματα VIP αυτών των ανταλλακτηρίων στα διαφορετικά του επίπεδα. Για τον μετριασμό αυτού του είδους επίθεσης, συνιστάται ο αποκλεισμός της εκτέλεσης μακροεντολών σε έγγραφα, καθώς και ο έλεγχος και η παρακολούθηση της δημιουργίας νέων εργασιών στο λειτουργικό σύστημα για να γνωρίζετε νέες άγνωστες εργασίες που εκτελούνται στο παρασκήνιο. Ωστόσο, η Veloxity δεν ενημέρωσε για το επίπεδο απήχησης που έχει επιτύχει αυτή η καμπάνια.

Ο Λάζαρος κατηγορήθηκε επίσημα από το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) τον Φεβρουάριο του 2021, με τη συμμετοχή ενός πράκτορα της ομάδας που συνδέεται με μια οργάνωση πληροφοριών της Βόρειας Κορέας, το Γενικό Γραφείο Αναγνώρισης (RGB). Πριν από αυτό, τον Μάρτιο του 2020, το Υπουργείο Δικαιοσύνης απήγγειλε κατηγορίες σε δύο Κινέζους υπηκόους για βοήθεια στο ξέπλυμα κρυπτονομισμάτων περισσότερων από 100 εκατομμυρίων δολαρίων που συνδέονται με τα κατορθώματα του Λάζαρου.

Author: Dimitrios Alexandridis

Article: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/

Leave a Reply

Your email address will not be published. Required fields are marked *

X