Microsoft melaporkan bahwa aktor ancaman telah diidentifikasi menargetkan startup investasi cryptocurrency. Sebuah pihak yang dijuluki Microsoft DEV-0139 berpose sebagai perusahaan investasi cryptocurrency di Telegram dan menggunakan file Excel yang dipersenjatai dengan malware "yang dibuat dengan baik" untuk menginfeksi sistem yang kemudian diakses dari jarak jauh.
Ancaman tersebut merupakan bagian dari tren serangan yang menunjukkan kecanggihan tingkat tinggi. Dalam kasus ini, pelaku ancaman, yang secara salah mengidentifikasi dirinya dengan profil palsu karyawan OKX, bergabung dengan grup Telegram “yang digunakan untuk memfasilitasi komunikasi antara klien VIP dan platform pertukaran cryptocurrency,” Microsoft menulis dalam posting blog 6 Desember. Microsoft menjelaskan:
“Kami […] melihat serangan yang lebih kompleks di mana pelaku ancaman menunjukkan pengetahuan dan persiapan yang baik, mengambil langkah untuk mendapatkan kepercayaan target mereka sebelum mengerahkan muatan.”
Pada bulan Oktober, target diundang untuk bergabung dengan grup baru dan kemudian meminta umpan balik tentang dokumen Excel yang membandingkan struktur biaya OKX, Binance, dan Huobi VIP. Dokumen tersebut memberikan informasi yang akurat dan kesadaran tinggi akan realitas perdagangan crypto, tetapi juga secara tidak terlihat melakukan sideload file .dll (Dynamic Link Library) berbahaya untuk membuat pintu belakang ke dalam sistem pengguna. Target kemudian diminta untuk membuka file .dll sendiri selama diskusi tentang biaya.
Grup Lazarus DPRK yang terkenal telah mengembangkan versi baru dan lebih baik dari malware AppleJeus yang mencuri cryptocurrency, menandai upaya terbaru rezim untuk mengumpulkan dana untuk program senjata Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Ketua CSIS Korea (@CSISKoreaChair) Desember 6, 2022
Teknik serangan itu sendiri sudah lama dikenal. Microsoft menyarankan aktor ancaman itu sama dengan yang ditemukan menggunakan file .dll untuk tujuan serupa pada bulan Juni dan itu mungkin juga di balik insiden lain. Menurut Microsoft, DEV-0139 adalah aktor yang sama dengan perusahaan keamanan siber Volexity terkait ke Grup Lazarus yang disponsori negara Korea Utara, menggunakan varian malware yang dikenal sebagai AppleJeus dan MSI (penginstal Microsoft). Badan Keamanan Siber dan Infrastruktur federal Amerika Serikat didokumentasikan AppleJeus pada tahun 2021, dan Kaspersky Labs melaporkan atasnya pada tahun 2020.
Terkait: Grup Lazarus Korea Utara diduga berada di balik peretasan Jembatan Ronin
Departemen Keuangan AS telah resmi terhubung Lazarus Group untuk program senjata nuklir Korea Utara.
Sumber: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick