De er kjent i darknet-undergrunnen som «Lazarus-gruppen», men etterretningskilder sier at de er Nord-Koreas digitale hær. Du har kanskje hørt navnet før i det beryktede 2014-hakket til Sony Pictures.
Men deres siste operasjon har et nytt mål - kryptovaluta, og ble oppdaget av cybersikkerhetsselskapet Secureworks.
Fokuset for angrepet er ledere i finansfirmaer som holder og administrerer kryptovalutaer, og det fungerer slik – en leder mottar en e-post som sier at det er en mulighet til å rykke opp i gradene, og bli selskapets finansdirektør.
Det er et vedlegg i form av en Microsoft Word-fil. Når de åpnes, mottar de et varsel "redigering må være aktivert for å se dokumentet", og når brukeren klikker "ok" starter den et innebygd skript som gjør 2 ting.
Først oppretter det og åpner et ufarlig dokument - en faktisk jobbbeskrivelse for å holde brukeren distrahert og mistenksom.
For det andre, i hemmelighet lanserer instillasjonen av et trojansk virus.
 |
| Den ufarlige stillingsbeskrivelsen (Bilde: Secureworks) |
Selv om trojanere med ekstern tilgang ikke er noe nytt og til og med kan kjøpes og selges på underjordiske darknet-fora, er det som skiller seg ut med denne at det ikke ser ut til å være en variant av tidligere kjente trojanere - denne ser ut til å ha blitt nykodet fra bunnen av .
Ved å evaluere koden, gjenkjente Secureworks Counter Threat Unit noe fra tidligere nordkoreanske operasjoner – det er tungt avhengig av C2-protokollen, som The Lazarus Group har brukt tidligere for å kommunisere til deres hovedkommando- og kontrollservere.
De første oppdagelsene av dette nye angrepet startet i oktober, og fortsetter i dag.
De som føler at de kan være målet for slike angrep, anbefales å sørge for at makroer er deaktivert i Microsoft Word, og krever tofaktorautentisering på systemer med sensitive data.
-------
Forfatter: Ross Davis
San Francisco News Desk
Ingen kommentarer
Legg inn en kommentar