Η Microsoft ανέφερε ότι πρόσφατα παρατήρησε την ομάδα DEV-0139 που στοχεύει εταιρείες crypto μέσω του Telegram.
Αυτή η τελευταία επίθεση στην οποία αναφερόμαστε αποτελεί μέρος μιας ανησυχητικής τάσης στο κυβερνοέγκλημα: οι απειλές γίνονται όλο και πιο εξελιγμένες. Στην προκειμένη περίπτωση, οι χάκερ χρησιμοποίησαν ψεύτικα προφίλ που προσποιήθηκαν ότι είναι υπάλληλοι της OKX για να αποκτήσουν πρόσβαση σε ομάδες Telegram που συνήθως χρησιμοποιούνται από πλατφόρμες ανταλλαγής crypto και τους VIP πελάτες τους.
Η Microsoft εντόπισε πρόσφατα μια ομάδα απειλών DEV-0139 που επικοινωνούσε με πελάτες VIP εταιρειών επενδύσεων crypto μέσω ομάδων Telegram. Η ομάδα Security Threat Intelligence της εταιρείας αποκάλυψε: “Η επίθεση εκμεταλλεύτηκε τις ομάδες συνομιλίας του Telegram για να στοχεύσει εταιρείες επενδύσεων σε cryptocurrency
Στις 19 Οκτωβρίου, η DEV-0139 εντάχθηκε στις ομάδες Telegram που επέτρεπαν στους επενδυτές crypto να επικοινωνούν μεταξύ τους και να προσδιορίζουν τους στόχους τους. Αυτοί οι απατεώνες είχαν εκτεταμένες γνώσεις σχετικά με τη βιομηχανία κρυπτογράφησης και προσποιούνταν ότι ήταν εκπρόσωποι άλλων εταιρειών διαχείρισης. Προσκάλεσαν τουλάχιστον ένα άτομο σε μια άλλη ομάδα συνομιλίας και ζήτησαν σχόλια σχετικά με τη δομή των αμοιβών διαφόρων πλατφορμών ανταλλαγής.
Δείτε επίσης: Η Microsoft προειδοποιεί για κύμα από ρωσικές κυβερνοεπιθέσεις
Αφού κέρδισαν την εμπιστοσύνη των στόχων τους, οι απειλητικοί φορείς τους έστειλαν ένα κακόβουλο αρχείο Excel με την ονομασία “OKX Binance Huobi VIP fee comparision.xls” με δεδομένα (πιθανότατα ακριβή για να αυξήσουν την αξιοπιστία) που συγκρίνουν τις δομές των VIP αμοιβών των εταιρειών ανταλλαγής crypto.
Μόλις το θύμα ανοίξει το έγγραφο της DEV-0139 και ενεργοποιήσει τις μακροεντολές, ένα δεύτερο φύλλο εργασίας ενσωματωμένο στο αρχείο θα αρχίσει να κατεβαίνει (download). Αυτό το φύλλο περιέχει ένα αρχείο PNG που έχει κωδικοποιηθεί με ένα κακόβουλο DLL, ένα κωδικοποιημένο με XOR backdoor και ένα νόμιμο εκτελέσιμο αρχείο των Windows. Το DLL θα αποκρυπτογραφήσει και θα φορτώσει το backdoor, παρέχοντας απομακρυσμένη πρόσβαση στους επιτιθέμενους στο σύστημα του θύματος.
Το κύριο φύλλο στο αρχείο Excel προστατεύεται με κωδικό πρόσβασης “dragon” για να ενθαρρύνει τα θύματα να ενεργοποιήσουν τις μακροεντολές, εξήγησε η Microsoft.
“Μετά την εγκατάσταση και την εκτέλεση του άλλου αρχείου Excel που είναι αποθηκευμένο σε Base64, το φύλλο είναι στη συνέχεια απροστάτευτο. Αυτό πιθανώς χρησιμοποιείται από την DEV-0139 για να εξαπατήσει τους χρήστες ώστε να ενεργοποιήσουν μακροεντολές χωρίς ανίχνευση”
Η DEV-0139 όχι μόνο παρέδωσε ένα δεύτερο payload στο πλαίσιο αυτής της εκστρατείας – ένα πακέτο MSI για μια εφαρμογή CryptoDashboardV2 – αλλά έχει γίνει επίσης εμφανές ότι βρίσκεται πίσω από άλλες επιθέσεις που χρησιμοποιούν την ίδια τεχνική για να προωθήσουν προσαρμοσμένα payloads.
Η Microsoft δεν απέδωσε την επίθεση αυτή σε κάποια συγκεκριμένη ομάδα, αλλά επέλεξε να τη συνδέσει με τη συστάδα απειλών DEV-0139. Ωστόσο, κατά τη διάρκεια του Σαββατοκύριακου, η Volexity – μια εταιρεία πληροφοριών απειλών – δημοσίευσε τα δικά της ευρήματα σχετικά με το θέμα αυτό και τη σύνδεσή του με την ομάδα απειλών Lazarus της Βόρειας Κορέας.
Σύμφωνα με τις ανακαλύψεις της Volexity, αυτό που έκαναν οι Βορειοκορεάτες χάκερς της DEV-0139 ήταν να χρησιμοποιήσουν το malware AppleJeus, το οποίο η Lazarus είχε χρησιμοποιήσει στο παρελθόν σε επιχειρήσεις πειρατείας crypto και κλοπής ψηφιακών περιουσιακών στοιχείων. Αυτό το malware εισήχθη στο σύστημα μέσω ενός κακόβουλου φύλλου Excel σύγκρισης αμοιβών κρυπτο-ανταλλαγής.
Δείτε επίσης: Lazarus: Η νέα καμπάνια BloxHolder εγκαθιστά το malware AppleJeus
Η Volexity παρατήρησε την Lazarus να χρησιμοποιεί έναν κλώνο ιστότοπου που περιείχε την αυτοματοποιημένη πλατφόρμα συναλλαγών crypto HaasOnline. Αυτό τους επέτρεψε να διανείμουν έναν δούρειο ίππο (trojan) της εφαρμογής BloxHolder, η οποία αντ’ αυτού ανέπτυσσε το κακόβουλο λογισμικό AppleJeus που ήταν ενσωματωμένο στην εφαρμογή QTBitcoinTrader.
Η Microsoft ανακοίνωσε ότι θα ενημερώσει τους πελάτες που έχουν εκτεθεί ή στοχοποιηθεί σε πρόσφατες επιθέσεις και θα παράσχει τις πληροφορίες που απαιτούνται για την ασφάλεια των λογαριασμών τους.
Η Lazarus Group είναι μια διαβόητη ομάδα hacking της Βόρειας Κορέας που σπέρνει τον όλεθρο για πάνω από δέκα χρόνια.
Οι πράκτορές της είναι γνωστοί για την εξαπόλυση επιθέσεων σε στόχους υψηλού προφίλ παγκοσμίως, συμπεριλαμβανομένων τραπεζών, οργανισμών μέσων ενημέρωσης και κυβερνητικών υπηρεσιών.
Η ομάδα θεωρείται ύποπτη για τις γνωστές επιθέσεις στον κυβερνοχώρο, όπως το hack της Sony Pictures το 2014 και η επίθεση με το WannaCry του 2017.
Η αναφορά της Microsoft αποτελεί μια σημαντική υπενθύμιση ότι οι απειλές στον κυβερνοχώρο εξελίσσονται και μεταβάλλονται συνεχώς, οπότε οι εταιρείες πρέπει να βρίσκονται σε εγρήγορση προκειμένου να προστατευτούν από αυτές.
Πηγή: bleepingcomputer.com
