North Korean hacker

マイクロソフトは、暗号通貨投資会社が、同社の VIP 顧客との通信に使用される Telegram グループを介して、DEV-0139 として追跡している脅威グループの標的にされていると述べています。

「Microsoft は最近、DEV-0139 として追跡されている脅威アクターが Telegram チャット グループを利用して仮想通貨投資会社を標的とした攻撃を調査しました」と同社のセキュリティ脅威インテリジェンス チームは明らかにしました。

「DEV-0139 は、VIP クライアントと暗号通貨交換プラットフォーム間の通信を促進するために使用される Telegram グループに参加し、メンバーの中からターゲットを特定しました。」

10 月 19 日、仮想通貨投資業界に関する幅広い知識を持つ攻撃者が、少なくとも 1 人のターゲット (他の仮想資産管理会社の代表者を装った) を別の Telegram グループに招待し、仮想通貨交換プラットフォームの料金体系に関するフィードバックを求めました。

攻撃者は、ターゲットの信頼を得た後、「OKX Binance & Huobi VIP 料金比較.xls」という名前の悪意のある Excel スプレッドシートを、暗号交換会社の VIP 料金体系間のデータ比較 (信頼性を高めるために正確である可能性が高い) とともに送信しました。

悪意のある Excel シート
悪意のある Excel シート ()

被害者がドキュメントを開いてマクロを有効にすると、ファイルに埋め込まれた 2 番目のワークシートが PNG ファイルをダウンロードして解析し、悪意のある DLL、XOR エンコードされたバックドア、および後に DLL のサイドロードに使用される正規の Windows 実行可能ファイルを抽出します。

この DLL はバックドアを復号化してロードし、被害者の侵害されたシステムへのリモート アクセスを攻撃者に提供します。

「Excel ファイルのメイン シートはパスワード ドラゴンで保護されており、ターゲットがマクロを有効にするよう促しています」と Microsoft は説明しています。

「Base64 に保存されている他の Excel ファイルをインストールして実行すると、シートの保護が解除されます。これは、ユーザーを騙してマクロを有効にし、疑いを持たないようにするために使用される可能性があります。」

DEV-0139 は、このキャンペーンの一環として、CryptoDashboardV2 アプリ用の MSI パッケージである 2 つ目のペイロードも配信しました。これは、同じ手法を使用してカスタム ペイロードをプッシュする他の攻撃の背後にもいることを示唆しています。

攻撃の概要
攻撃の概要 (Microsoft)

Microsoft はこの攻撃を特定のグループに帰せず、代わりに脅威活動の DEV-0139 クラスターにリンクすることを選択しましたが、脅威インテリジェンス会社である Volexity も週末にこの攻撃に関する独自の調査結果を公開し、それを北部に結び付けました。韓国の Lazarus 脅威グループ。

Volexity によると、北朝鮮のハッカーは悪意のある仮想通貨取引所手数料比較スプレッドシートを使用して、Lazarus が以前に仮想通貨の乗っ取りやデジタル資産の盗難操作に使用した AppleJeus マルウェアをドロップしました。

Volexity はまた、Lazarus が HaasOnline 自動暗号通貨取引プラットフォームのウェブサイトのクローンを使用して、代わりに QTBitcoinTrader アプリにバンドルされた AppleJeus マルウェアを展開するトロイの木馬化された BloxHolder アプリを配布していることを確認しました。

マイクロソフトは、これらの攻撃で侵害または標的にされた顧客に通知し、アカウントを保護するために必要な情報を共有したと述べています。

Lazarus Group は北朝鮮で活動しているハッキング グループで、少なくとも 2009 年から 10 年以上活動しています。

その工作員は、銀行、メディア組織、政府機関など、世界中の注目を集める標的への攻撃で知られています。

このグループは、 2014 年の Sony Pictures へのハッキングや 2017 年のWannaCry ランサムウェア攻撃など、注目を集めたサイバー攻撃に関与していると考えられています。