Grupa Lazarus, północnokoreańska organizacja hakerska, powiązana wcześniej z działalnością przestępczą, została połączona z nowym schematem ataku, mającym na celu włamanie do systemów i kradzież kryptowalut od stron trzecich. Hakerzy, wykorzystali zmodyfikowaną wersję już istniejącego szkodliwego oprogramowania o nazwie Applejeus, stworzyli witrynę kryptograficzną, a także dokumenty, aby uzyskać dostęp do systemów użytkowników.
Zmodyfikowane złośliwe oprogramowanie Lazarus wykorzystywało witrynę kryptograficzną jako fasadę
Volexity, firma zajmująca się cyberbezpieczeństwem z siedzibą w Waszyngtonie, powiązała Lazarus z zagrożeniem polegającym na wykorzystaniu witryny kryptograficznej do infekowania systemów w celu kradzieży informacji i kryptowaluty od stron trzecich.
Wpis na blogu opublikowany 1 grudnia ujawnił, że w czerwcu Lazarus zarejestrował domenę o nazwie „bloxholder.com”. Następnie firma działająca pod tą samą nazwą, oferowała usługi automatycznego handlu kryptowalutami. Wykorzystując tę witrynę jako fasadę, Lazarus zachęcał użytkowników do pobrania aplikacji. Ta służyła do dostarczania szkodliwego oprogramowania Applejeus, nakierowanego na kradzież kluczy prywatnych i innych danych z systemów użytkowników.
Tę samą strategię grupa zastosowała już wcześniej. Jednak ten nowy schemat wykorzystuje technikę, która pozwala aplikacji „zmylić i spowolnić” zadania wykrywania złośliwego oprogramowania.
Wirus w dokumentach pakietu Office
Volexity odkryło również, że w październiku zmieniła się technika dostarczania tego złośliwego oprogramowania użytkownikom końcowym. Do dostarczenia złośliwego oprogramowania użyto dokumenty pakietu Office. Najczęściej Lazarus wykorzystywał arkusz kalkulacyjny zawierający makra, rodzaj programu osadzonego w dokumentach przeznaczonego do instalowania złośliwego oprogramowania Applejeus na komputerze.
Dokument, oznaczony nazwą „OKX Binance & Huobi VIP fee comparision.xls”, przedstawiał korzyści, jakie rzekomo oferuje każdy z programów VIP tych giełd na różnych poziomach. Veloxity nie poinformował, jaki zasięg osiągnęła ta kampania.
WARTO WIEDZIEĆ!
W celu zminimalizowania ryzyka tego rodzaju ataku, zalecamy blokować wykonywanie makr w dokumentach, a także sprawdzać i monitorować tworzenie nowych zadań w systemie operacyjnym, by szybciej zareagować na nowe, niezidentyfikowane zadania działające w tle.
Lazarus został formalnie postawiony w stan oskarżenia przez Departament Sprawiedliwości Stanów Zjednoczonych (DOJ) w lutym 2021 r., w którym uczestniczył agent grupy powiązanej z północnokoreańską organizacją wywiadowczą, Reconnaissance General Bureau (RGB). Wcześniej, w marcu 2020 roku, Departament Sprawiedliwości oskarżył dwóch obywateli Chin o pomoc w praniu ponad 100 milionów dolarów w kryptowalucie związanej z wyczynami Lazarusa.