Skip to main content

Quelle: Сointеlеgrаph

Microsoft berichtet, dass ein Bedrohungsakteur identifiziert wurde, der auf Startups mit Kryptowährungsinvestitionen abzielt. Eine Partei, die Microsoft DEV-0139 getauft hat, gab sich bei Telegram als Kryptowährungs-Investmentgesellschaft aus und benutzte eine Excel-Datei, die mit „gut ausgearbeiteter“ Malware bewaffnet war, um Systeme zu infizieren, auf die sie dann aus der Ferne zugegriffen hat.

Die Bedrohung ist Teil eines Trends bei Angriffen, die ein hohes Maß an Raffinesse aufweisen. In diesem Fall schloss sich der Bedrohungsakteur, der sich fälschlicherweise mit gefälschten Profilen von OKX-Mitarbeitern identifizierte, Telegram-Gruppen an, „die verwendet werden, um die Kommunikation zwischen VIP-Kunden und Plattformen für den Austausch von Kryptowährungen zu erleichtern“, schrieb Microsoft in einem Blogbeitrag vom 6. Dezember. Microsoft erklärte:

„Wir sind […] komplexere Angriffe zu sehen, bei denen der Angreifer große Kenntnisse und Vorbereitung zeigt und Schritte unternimmt, um das Vertrauen seines Ziels zu gewinnen, bevor er Nutzlasten einsetzt.“

Im Oktober wurde die Zielperson eingeladen, einer neuen Gruppe beizutreten, und dann um Feedback zu einem Excel-Dokument gebeten, in dem die VIP-Gebührenstrukturen von OKX, Binance und Huobi verglichen wurden. Das Dokument lieferte genaue Informationen und ein hohes Bewusstsein für die Realität des Kryptohandels, aber es lud auch unsichtbar eine bösartige .dll-Datei (Dynamic Link Library) von der Seite, um eine Hintertür in das System des Benutzers zu erstellen. Die Zielperson wurde dann im Laufe der Gebührendiskussion aufgefordert, die .dll-Datei selbst zu öffnen.

Die Angriffstechnik selbst ist seit langem bekannt. Microsoft schlug vor, dass der Bedrohungsakteur derselbe war wie derjenige, der im Juni bei der Verwendung von .dll-Dateien für ähnliche Zwecke gefunden wurde, und dass dies wahrscheinlich auch hinter anderen Vorfällen steckte. Laut Microsoft handelt es sich bei DEV-0139 um denselben Akteur, den das Cybersicherheitsunternehmen Volexity mit der staatlich geförderten nordkoreanischen Lazarus-Gruppe unter Verwendung einer Malware-Variante namens AppleJeus und eines MSI (Microsoft-Installationsprogramms) in Verbindung gebracht hat. Die Bundesbehörde für Cybersicherheit und Infrastruktursicherheit der Vereinigten Staaten dokumentierte AppleJeus im Jahr 2021, und Kaspersky Labs berichtete darüber im Jahr 2020.

Siehe auch: Die nordkoreanische Lazarus-Gruppe soll angeblich hinter dem Ronin-Bridge-Hack stecken

Das US-Finanzministerium hat die Lazarus Group offiziell mit Nordkoreas Atomwaffenprogramm in Verbindung gebracht.

Quelle: Сointеlеgrаph

Leave a Reply