Heidät tunnetaan darknet undergroundissa nimellä "Lazarus Group", mutta tiedustelulähteet sanovat, että he ovat Pohjois-Korean digitaalinen armeija. Olet ehkä kuullut nimen aiemmin pahamaineisessa Sony Picturesin hakkeroinnissa vuonna 2014.
Mutta heidän uusimmalla toiminnallaan on uusi kohde - kryptovaluutta, ja sen löysi kyberturvallisuusyritys Secureworks.
Hyökkäyksen painopiste on kryptovaluuttoja omistavien ja hallinnoivien rahoitusyritysten johtajissa, ja se toimii näin – johtaja saa sähköpostin, jossa kerrotaan, että hänellä on mahdollisuus nousta riveissä ja tulla yhtiön talousjohtajaksi.
Liite on Microsoft Word -tiedoston muodossa. Kun ne avataan, he saavat ilmoituksen "muokkaus on otettava käyttöön nähdäkseen asiakirjan" ja kun käyttäjä napsauttaa "ok", se käynnistää upotetun komentosarjan, joka tekee 2 asiaa.
Ensin se luo ja avaa vaarattoman asiakirjan - todellisen työnkuvauksen, joka pitää käyttäjän hajamielisenä ja epäluuloisena.
Toiseksi käynnistää salaa troijalaisen viruksen tiputuksen.
 |
| Vaarattoman näköinen työnkuvausdokumentti (Kuva: Secureworks) |
Vaikka etäkäyttötroijalaiset eivät ole mitään uutta, ja niitä voidaan jopa ostaa ja myydä maanalaisilla darknet-foorumeilla, erottuva tässä on se, että se ei näytä olevan muunnelma aiemmin tunnetuista troijalaisista - tämä näyttää olevan juuri koodattu tyhjästä. .
Arvioiessaan koodia Secureworks Counter Threat Unit tunnisti jotain aiemmista Pohjois-Korean operaatioista - se on vahvasti riippuvainen C2-protokollasta, jota The Lazarus Group on käyttänyt aiemmin viestiessään pääkomento- ja ohjauspalvelimiinsa.
Tämän uuden hyökkäyksen ensimmäiset löydöt alkoivat lokakuussa ja jatkuvat tänään.
Niiden, jotka kokevat voivansa joutua tällaisten hyökkäysten kohteeksi, suositellaan varmistamaan, että makrot on poistettu käytöstä Microsoft Wordissa, ja vaativat kaksivaiheista todennusta järjestelmissä, joissa on arkaluonteisia tietoja.
-------
Kirjoittaja: Ross Davis
San Franciscon uutistoimisto
Ei kommentteja
Lähetä kommentti