Microsoft meldet, dass ein Bedrohungsakteur identifiziert wurde, der es auf Krypto-Investment-Startups abgesehen hat. Microsoft bezeichnet die Gruppe als DEV-0139. Diese soll sich auf Telegram als Kryptowährungs-Investmentgesellschaft ausgeben und eine Excel-Datei nutzen, die mit "gut gemachter" Malware versehen ist, um Systeme zu infizieren, auf die sie dann aus der Ferne zugreift.
In letzter Zeit kam es häufig zu Angriffen, die viel Raffinesse aufweisen. In diesem Fall trat der Bedrohungsakteur, der sich mit gefälschten Profilen von OKX-Mitarbeitern vorstellte, Telegram-Gruppen bei, die "zur Erleichterung der Kommunikation zwischen VIP-Kunden und Kryptowährungsbörsenplattformen verwendet werden", so Microsoft in einem Blogbeitrag vom 6. Dezember. Microsoft erklärte dazu:
"Wir sehen komplexere Angriffe, bei denen der Bedrohungsakteur viel Wissen und Vorbereitung zeigt und sich darum bemüht, das Vertrauen des Ziels zu gewinnen, bevor er zum Angriff ansetzt."
Im Oktober wurde die Zielgruppe eingeladen, einer neuen Gruppe beizutreten, und dann um Feedback zu einem Excel-Dokument gebeten, das die VIP-Gebührenstrukturen von OKX, Binance und Huobi verglich. Das Dokument lieferte korrekte Informationen und spiegelte die Realität des Krypto-Handels wieder, schleuste aber auch unsichtbar eine bösartige .dll-Datei (Dynamic Link Library) als Hintertür in das System des Benutzers ein. Die Zielperson wurde dann im Laufe der Diskussion über die Gebühren aufgefordert, die .dll-Datei selbst zu öffnen.
DPRK’s infamous Lazarus Group has developed new and improved versions of its cryptocurrency-stealing malware AppleJeus, marking the regime’s latest attempt to garner funds for Kim Jong-un’s weapons programs. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) December 6, 2022
Diese Methode an sich ist schon lange bekannt. Microsoft geht davon aus, dass es sich bei dem Bedrohungsakteur um denselben handelt, der bereits im Juni .dll-Dateien für ähnliche Zwecke verwendet hat. Dieser steckt wahrscheinlich auch hinter anderen Vorfällen. Laut Microsoft handelt es sich bei DEV-0139 um denselben Akteur, den die Cybersecurity-Firma Volexity mit der staatlich geförderten Lazarus Group aus Nordkorea in Verbindung gebracht hat. Die Gruppe hat dabei einem Malware namens AppleJeus und ein MSI (Microsoft-Installationsprogramm) verwendet. Die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit dokumentierte AppleJeus im Jahr 2021 und Kaspersky Labs berichtete im Jahr 2020 darüber.
Das US-Finanzministerium hat die Lazarus Group offiziell mit dem nordkoreanischen Atomwaffenprogramm in Verbindung gebracht.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
