Mae adran ddiogelwch Microsoft, mewn a Datganiad i'r wasg ddoe, Rhagfyr 6, dadorchuddiwyd ymosodiad targedu startups cryptocurrency. Cawsant ymddiriedaeth trwy sgwrs Telegram ac anfonwyd Excel o'r enw “OKX Binance a Huobi VIP fee compare.xls,” a oedd yn cynnwys cod maleisus a allai gael mynediad o bell i system y dioddefwr.
Mae'r tîm cudd-wybodaeth bygythiadau Diogelwch wedi olrhain yr actor bygythiad fel DEV-0139. Llwyddodd yr haciwr i ymdreiddio i grwpiau sgwrsio ar Telegram, yr app negeseuon, gan ffugio fel cynrychiolwyr cwmni buddsoddi crypto ac esgus trafod ffioedd masnachu gyda chleientiaid VIP o gyfnewidfeydd mawr.
Y nod oedd twyllo cronfeydd buddsoddi crypto i lawrlwytho ffeil Excel. Mae'r ffeil hon yn cynnwys gwybodaeth gywir am strwythurau ffioedd cyfnewidfeydd arian cyfred digidol mawr. Ar y llaw arall, mae ganddo macro maleisus sy'n rhedeg taflen Excel arall yn y cefndir. Gyda hyn, mae'r actor drwg hwn yn cael mynediad o bell i system heintiedig y dioddefwr.
microsoft eglurodd, “Mae'r brif ddalen yn y ffeil Excel wedi'i diogelu gyda'r ddraig cyfrinair i annog y targed i alluogi'r macros.” Fe wnaethant ychwanegu, “Yna nid yw'r ddalen wedi'i diogelu ar ôl gosod a rhedeg y ffeil Excel arall sydd wedi'i storio yn Base64. Mae hyn yn debygol o gael ei ddefnyddio i dwyllo’r defnyddiwr i alluogi macros a pheidio â chodi amheuaeth.”
Yn ol adroddiadau, yn Awst, y cryptocurrency fe wnaeth ymgyrch drwgwedd mwyngloddio heintio mwy na 111,000 o ddefnyddwyr.
Mae cudd-wybodaeth bygythiad yn cysylltu DEV-0139 â grŵp bygythiad Lazarus Gogledd Corea.
Ynghyd â'r ffeil macro Excel maleisus, cyflwynodd DEV-0139 hefyd lwyth cyflog fel rhan o'r twyll hwn. Mae hwn yn becyn MSI ar gyfer ap CryptoDashboardV2, sy'n talu'r un ymwthiad. Roedd hyn wedi gwneud i sawl cudd-wybodaeth awgrymu eu bod hefyd y tu ôl i ymosodiadau eraill gan ddefnyddio'r un dechneg i wthio llwythi tâl arferol.
Cyn darganfod DEV-0139 yn ddiweddar, bu ymosodiadau gwe-rwydo tebyg eraill a awgrymodd rhai timau cudd-wybodaeth bygythiad a allai fod yn waith DEV-0139.
Fe wnaeth y cwmni cudd-wybodaeth bygythiad Volexity hefyd ryddhau ei ganfyddiadau am yr ymosodiad hwn dros y penwythnos, gan ei gysylltu â'r Lasarus Gogledd Corea grŵp bygythiad.
Yn ôl Volexity, y Gogledd Corea hacwyr defnyddio taenlenni cymharu ffioedd crypto-gyfnewid maleisus tebyg i ollwng y malware AppleJeus. Dyma beth maen nhw wedi'i ddefnyddio mewn herwgipio arian cyfred digidol a gweithrediadau dwyn asedau digidol.
Mae Volexity hefyd wedi datgelu Lasarus gan ddefnyddio clôn gwefan ar gyfer platfform masnachu crypto awtomataidd HaasOnline. Maent yn dosbarthu ap Bloxholder trojanized a fyddai'n hytrach yn defnyddio meddalwedd maleisus AppleJeus wedi'i bwndelu o fewn yr app QTBitcoinTrader.
Mae Lazarus Group yn grŵp bygythiad seiber sy’n gweithredu yng Ngogledd Corea. Mae wedi bod yn weithredol ers tua 2009. Mae'n enwog am ymosod ar dargedau proffil uchel ledled y byd, gan gynnwys banciau, sefydliadau cyfryngau, ac asiantaethau'r llywodraeth.
Mae’r grŵp hefyd yn cael ei amau o fod yn gyfrifol am hac 2014 Sony Pictures ac ymosodiad ransomware WannaCry yn 2017.
Ffynhonnell: https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/