De er kendt i darknet-undergrunden som "The Lazarus Group", men efterretningskilder siger, at de er Nordkoreas digitale hær. Du har måske hørt navnet før i det berygtede 2014-hack af Sony Pictures.
Men deres seneste operation har et nyt mål - cryptocurrency, og blev opdaget af cybersikkerhedsfirmaet Secureworks.
Fokus for angrebet er ledere hos finansielle firmaer, der besidder og administrerer kryptovalutaer, og det fungerer sådan her – en leder modtager en e-mail, hvori der står, at der er mulighed for at rykke op i graderne og blive virksomhedens finansdirektør.
Der er en vedhæftet fil i form af en Microsoft Word-fil. Når de åbnes, modtager de en notifikation "redigering skal være aktiveret for at se dokumentet", og når brugeren klikker på "ok", starter den et indlejret script, der gør 2 ting.
Først opretter det og åbner et harmløst dokument - en egentlig jobbeskrivelse for at holde brugeren distraheret og mistænkelig.
For det andet, lancerer hemmeligt instillation af en trojansk virus.
Selvom trojanske heste med fjernadgang ikke er noget nyt og endda kan købes og sælges på underjordiske darknet-fora, er det, der skiller sig ud ved denne, at det ikke ser ud til at være en variation af tidligere kendte trojanske heste - denne ser ud til at være nykodet fra bunden .
Ved at evaluere koden genkendte Secureworks Counter Threat Unit noget fra tidligere nordkoreanske operationer - det er stærkt afhængigt af C2-protokollen, som The Lazarus Group tidligere har brugt til at kommunikere til deres vigtigste kommando- og kontrolservere.
De første opdagelser af dette nye angreb startede i oktober og fortsætter i dag.
Dem, der føler, at de kan være målet for sådanne angreb, anbefales at sikre, at makroer er deaktiveret i Microsoft Word og kræver to-faktor-godkendelse på systemer med følsomme data.
-------
Forfatter: Ross Davis
San Francisco News Desk
Ingen kommentarer
Send en kommentar