Grupa Lazarus znów uderzyła!

6 106

Grupa Lazarus, północnokoreańska organizacja hakerska, powiązana wcześniej z działalnością przestępczą, została połączona z nowym schematem ataku, mającym na celu włamanie do systemów i kradzież kryptowalut od stron trzecich. Hakerzy, wykorzystali zmodyfikowaną wersję już istniejącego szkodliwego oprogramowania o nazwie Applejeus, stworzyli witrynę kryptograficzną, a także dokumenty, aby uzyskać dostęp do systemów użytkowników.

Zmodyfikowane złośliwe oprogramowanie Lazarus wykorzystywało witrynę kryptograficzną jako fasadę

Volexity, firma zajmująca się cyberbezpieczeństwem z siedzibą w Waszyngtonie, powiązała Lazarus z zagrożeniem polegającym na wykorzystaniu witryny kryptograficznej do infekowania systemów w celu kradzieży informacji i kryptowaluty od stron trzecich.

Wpis na blogu opublikowany 1 grudnia ujawnił, że w czerwcu Lazarus zarejestrował domenę o nazwie „bloxholder.com”. Następnie firma działająca pod tą samą nazwą, oferowała usługi automatycznego handlu kryptowalutami. Wykorzystując tę ​​witrynę jako fasadę, Lazarus zachęcał użytkowników do pobrania aplikacji. Ta służyła do dostarczania szkodliwego oprogramowania Applejeus, nakierowanego na kradzież kluczy prywatnych i innych danych z systemów użytkowników.

Tę samą strategię grupa zastosowała już wcześniej. Jednak ten nowy schemat wykorzystuje technikę, która pozwala aplikacji „zmylić i spowolnić” zadania wykrywania złośliwego oprogramowania.

Wirus w dokumentach pakietu Office

Volexity odkryło również, że w październiku zmieniła się technika dostarczania tego złośliwego oprogramowania użytkownikom końcowym. Do dostarczenia złośliwego oprogramowania użyto dokumenty pakietu Office. Najczęściej Lazarus wykorzystywał arkusz kalkulacyjny zawierający makra, rodzaj programu osadzonego w dokumentach przeznaczonego do instalowania złośliwego oprogramowania Applejeus na komputerze.

Dokument, oznaczony nazwą „OKX Binance & Huobi VIP fee comparision.xls”, przedstawiał korzyści, jakie rzekomo oferuje każdy z programów VIP tych giełd na różnych poziomach. Veloxity nie poinformował, jaki zasięg osiągnęła ta kampania.

WARTO WIEDZIEĆ!

W celu zminimalizowania ryzyka tego rodzaju ataku, zalecamy blokować wykonywanie makr w dokumentach, a także sprawdzać i monitorować tworzenie nowych zadań w systemie operacyjnym, by szybciej zareagować na nowe, niezidentyfikowane zadania działające w tle.

Lazarus został formalnie postawiony w stan oskarżenia przez Departament Sprawiedliwości Stanów Zjednoczonych (DOJ) w lutym 2021 r., w którym uczestniczył agent grupy powiązanej z północnokoreańską organizacją wywiadowczą, Reconnaissance General Bureau (RGB). Wcześniej, w marcu 2020 roku, Departament Sprawiedliwości oskarżył dwóch obywateli Chin o pomoc w praniu ponad 100 milionów dolarów w kryptowalucie związanej z wyczynami Lazarusa.

Komentarze