„Lazarus“ grupė, Šiaurės Korėjos įsilaužėlių organizacija, anksčiau siejama su nusikalstama veikla, buvo prijungta prie naujos atakų schemos, kuria siekiama įsilaužti į sistemas ir pavogti kriptovaliutą iš trečiųjų šalių. Kampanija, kurioje naudojama modifikuota jau esamo kenkėjiškų programų produkto, vadinamo Applejeus, versija, naudoja šifravimo svetainę ir net dokumentus, kad gautų prieigą prie sistemų.
Modifikuota Lazarus kenkėjiška programa naudojo kriptografinę svetainę kaip fasadą
Vašingtone įsikūrusi kibernetinio saugumo įmonė „Volexity“ susiejo „Lazarus“ – Šiaurės Korėjos įsilaužėlių grupę, kuriai JAV vyriausybė jau skyrė sankcijas, su grasinimu, susijusiu su kriptovaliutų naudojimu sistemoms užkrėsti, siekiant pavogti informaciją ir kriptovaliutą iš trečiųjų šalių.
Tinklaraščio įrašas išduotas gruodžio 1 d. atskleidė, kad birželį Lazarus užregistravo domeną pavadinimu „bloxholder.com“, kuris vėliau bus įkurtas kaip verslas, siūlantis automatinės prekybos kriptovaliutomis paslaugas. Naudodamas šią svetainę kaip fasadą, Lazarus paskatino vartotojus atsisiųsti programą, kuri buvo naudinga, norint pristatyti Applejeus kenkėjišką programą, skirtą pavogti privačius raktus ir kitus duomenis iš vartotojų sistemų.
Tą pačią strategiją Lazarus naudojo ir anksčiau. Tačiau šioje naujoje schemoje naudojama technika, leidžianti programai „supainioti ir sulėtinti“ kenkėjiškų programų aptikimo užduotis.
Dokumentų makrokomandos
„Volexity“ taip pat nustatė, kad šios kenkėjiškos programos pateikimo galutiniams vartotojams technika spalį pasikeitė. Taikant šį metodą, buvo naudojami „Office“ dokumentai, ypač skaičiuoklė su makrokomandomis, tam tikra programa, įterpta į dokumentus, skirta „Applejeus“ kenkėjiškajai programai įdiegti kompiuteryje.
Dokumente, identifikuojamame pavadinimu „OKX Binance & Huobi VIP fee comparision.xls“, rodomi privalumai, kuriuos tariamai siūlo kiekviena šių mainų VIP programa skirtingais lygiais. Norint sušvelninti tokio pobūdžio atakas, rekomenduojama blokuoti makrokomandų vykdymą dokumentuose, taip pat atidžiai išnagrinėti ir stebėti naujų užduočių kūrimą OS, kad žinotumėte apie naujas neidentifikuotas užduotis, veikiančias fone. Tačiau „Veloxity“ nepranešė apie šios kampanijos pasiekiamumo lygį.
Lozorius buvo formaliai kaltinamasis 2021 m. vasario mėn. paskelbė JAV Teisingumo departamentas (DOJ), kuriame dalyvavo su Šiaurės Korėjos žvalgybos organizacija – Generaliniu žvalgybos biuru (RGB) – susijusios grupės darbuotojas. Prieš tai, 2020 m. kovo mėn., DOJ kaltinamasis du Kinijos piliečiai, padėję išplauti daugiau nei 100 milijonų dolerių kriptovaliutos, susijusios su Lozoriaus žygdarbiais.
Ką manote apie naujausią Lazarus kriptovaliutų kenkėjiškų programų kampaniją? Papasakokite mums toliau pateiktame komentarų skyriuje.
Vaizdo kreditai: „Shutterstock“, „Pixabay“, „Wiki Commons“
Atsakomybės neigimas: Šis straipsnis skirtas tik informaciniams tikslams. Tai nėra tiesioginis pasiūlymas pirkti ar parduoti ar jo prašymas arba bet kokių produktų, paslaugų ar bendrovių rekomendacija ar patvirtinimas. Bitcoin.com neteikia patarimų investavimo, mokesčių, teisinių ir apskaitos klausimais. Nei įmonė, nei autorius nėra tiesiogiai ar netiesiogiai atsakingi už bet kokią žalą ar nuostolius, kuriuos sukėlė ar tariamai sukėlė bet koks šiame straipsnyje minimo turinio, prekių ar paslaugų naudojimas ar priklausymas nuo jų.
Šaltinis: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/