Microsoft rapporte qu'un acteur menaçant a été identifié ciblant les startups d'investissement en crypto-monnaie. Une partie que Microsoft a surnommée DEV-0139 s'est présentée comme une société d'investissement en crypto-monnaie sur Telegram et a utilisé un fichier Excel armé de logiciels malveillants "bien conçus" pour infecter les systèmes auxquels il a ensuite accédé à distance.
La menace s'inscrit dans une tendance des attaques montrant un haut niveau de sophistication. Dans ce cas, l'acteur de la menace, s'identifiant à tort avec de faux profils d'employés d'OKX, a rejoint des groupes Telegram "utilisés pour faciliter la communication entre les clients VIP et les plateformes d'échange de crypto-monnaie", Microsoft écrit dans un article de blog du 6 décembre. Microsoft a expliqué :
"Nous assistons […] à des attaques plus complexes dans lesquelles l'acteur de la menace fait preuve d'une grande connaissance et préparation, prenant des mesures pour gagner la confiance de sa cible avant de déployer des charges utiles."
En octobre, la cible a été invitée à rejoindre un nouveau groupe, puis a demandé des commentaires sur un document Excel comparant les structures de frais VIP d'OKX, Binance et Huobi. Le document fournissait des informations précises et une grande sensibilisation à la réalité du trading de crypto, mais il chargeait également de manière invisible un fichier .dll (Dynamic Link Library) malveillant pour créer une porte dérobée dans le système de l'utilisateur. La cible a ensuite été invitée à ouvrir elle-même le fichier .dll au cours de la discussion sur les frais.
Le tristement célèbre groupe Lazarus de la RPDC a développé de nouvelles versions améliorées de son malware voleur de crypto-monnaie AppleJeus, marquant la dernière tentative du régime de recueillir des fonds pour les programmes d'armement de Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Président du CSIS Corée (@CSISKoreaChair) 6 décembre 2022
La technique d'attaque elle-même est connue depuis longtemps. Microsoft a suggéré que l'acteur de la menace était le même que celui trouvé en utilisant des fichiers .dll à des fins similaires en juin et que c'était probablement également à l'origine d'autres incidents. Selon Microsoft, DEV-0139 est le même acteur que la firme de cybersécurité Volexity lié au groupe Lazarus parrainé par l'État de Corée du Nord, en utilisant une variante de malware connue sous le nom d'AppleJeus et un MSI (programme d'installation Microsoft). Agence fédérale américaine pour la cybersécurité et la sécurité des infrastructures documenté AppleJeus en 2021 et Kaspersky Labs rapporté dessus en 2020.
Connexe: Le groupe nord-coréen Lazarus serait à l'origine du piratage du pont Ronin
Le département du Trésor américain s'est officiellement connecté Groupe Lazarus au programme d'armes nucléaires de la Corée du Nord.
Source : https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick