Microsoft-ын аюулгүй байдлын хэлтэс, a хэвлэлийн мэдээ Өчигдөр буюу 6-р сарын XNUMX-ны өдөр криптовалютын стартапууд руу чиглэсэн халдлагыг илрүүлэв. Тэд Telegram чатаар дамжуулан итгэлийг олж, хохирогчийн системд алсаас нэвтэрч болох хортой код агуулсан “OKX Binance and Huobi VIP fee comparison.xls” нэртэй Excel-г илгээсэн.
Аюулгүй байдлын аюулын тагнуулын баг аюул заналхийлэгчийг DEV-0139 гэж мөрдөж байна. Хакер нь Telegram мессежийн програмын чатын бүлэгт нэвтэрч, крипто хөрөнгө оруулалтын компанийн төлөөлөгчийн дүрд хувирч, томоохон биржүүдийн VIP үйлчлүүлэгчидтэй арилжааны хураамжийн талаар ярилцаж байгаа дүр эсгэж чадсан байна.
Зорилго нь крипто хөрөнгө оруулалтын сангуудыг хууран мэхэлж Excel файлыг татаж авах явдал байв. Энэ файл нь криптовалютын томоохон биржүүдийн хураамжийн бүтцийн талаарх үнэн зөв мэдээллийг агуулдаг. Нөгөө талаас, энэ нь цаана нь өөр Excel хуудсыг ажиллуулдаг хортой макротой. Ингэснээр энэ муу жүжигчин хохирогчийн халдвар авсан системд алсаас хандах боломжтой болдог.
Microsoft- "Excel файлын үндсэн хуудас нь нууц үгийн луугаар хамгаалагдсан бөгөөд зорилго нь макро идэвхжүүлэхэд түлхэц болно." Тэд нэмж хэлэхдээ, "Base64-д хадгалагдсан бусад Excel файлыг суулгаж ажиллуулсны дараа хуудас хамгаалалтгүй болно. Энэ нь хэрэглэгчийг хууран мэхэлж, макро идэвхжүүлэх, сэжиг төрүүлэхгүй байх зорилготой байж магадгүй юм."
Мэдээллийн дагуу наймдугаар сард cryptocurrency уул уурхайн хортой програм хангамжийн кампанит ажил 111,000 гаруй хэрэглэгчдэд халдварлажээ.
Аюулын тагнуулынхан DEV-0139-ийг Хойд Солонгосын Лазарус аюулын бүлэгтэй холбодог.
Хортой макро Excel файлын хамт DEV-0139 нь энэхүү заль мэхийн нэг хэсэг болгон ачааг хүргэсэн. Энэ нь CryptoDashboardV2 програмын MSI багц бөгөөд ижил саад бэрхшээлийг төлдөг. Энэ нь хэд хэдэн тагнуулын мэдээллүүд тэднийг захиалгат ачааллыг түлхэх ижил аргыг ашиглан бусад халдлагуудын ард байгаа гэсэн дүгнэлтэд хүргэсэн.
Саяхан DEV-0139-ийг илрүүлэхээс өмнө бусад ижил төстэй фишинг халдлага гарч байсан бөгөөд зарим аюулын тагнуулын баг DEV-0139-ийн ажил байж магадгүй гэж таамаглаж байсан.
Аюултай байдлын тагнуулын компани Volexity мөн энэ халдлагын талаарх дүгнэлтээ амралтын өдрүүдэд нийтэлж, үүнийгээ Хойд Солонгосын Лазарус аюул заналхийллийн бүлэг.
Volexity-ийн мэдээлснээр Хойд Солонгосын хакерууд AppleJeus хортой програмыг устгахын тулд ижил төстэй хортой крипто солилцооны хураамжийн харьцуулалтын хүснэгтийг ашиглана уу. Энэ нь тэд криптовалютын хулгайлах, дижитал хөрөнгийн хулгайн үйл ажиллагаанд ашигласан зүйл юм.
Volexity мөн HaasOnline автомат крипто арилжааны платформд зориулсан вэбсайтын клон ашиглан Лазарусыг илрүүлжээ. Тэд QTBitcoinTrader програмын багцалсан AppleJeus хортой программыг байршуулах троянжуулсан Bloxholder програмыг түгээдэг.
Лазарус групп нь Хойд Солонгост үйл ажиллагаа явуулдаг кибер аюулын бүлэг юм. Энэ нь 2009 оноос хойш идэвхтэй үйл ажиллагаа явуулж байна. Энэ нь банк, хэвлэл мэдээллийн байгууллага, засгийн газрын агентлагууд зэрэг дэлхий даяар алдартай зорилтот газрууд руу довтолж байгаагаараа алдартай.
Тус бүлэглэлийг мөн 2014 онд Sony Pictures-ийн хакердах ажиллагаа болон 2017 оны WannaCry ransomware халдлагад буруутай гэж сэжиглэж байна.
Эх сурвалж: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-starups/