Home > General >

Grup Lazarus menyerang perusahaan cryptocurrency melalui iklan pekerjaan LinkedIn

Grup Lazarus menyerang perusahaan cryptocurrency melalui iklan pekerjaan LinkedIn

///
Comments are Off
Grup Lazarus menyerang perusahaan cryptocurrency melalui iklan pekerjaan LinkedIn

Itu Kelompok Lazarus sedang berburu cryptocurrency sekali lagi dan sekarang telah meluncurkan serangan yang ditargetkan terhadap organisasi crypto dengan mengeksploitasi elemen manusia dari rantai perusahaan.

Pada hari Selasa, peneliti keamanan siber dari F-Secure mengatakan organisasi cryptocurrency adalah salah satunya korban terbaru dalam kampanye international yang menargetkan bisnis di setidaknya 14 negara termasuk Inggris dan AS.

Lazarus adalah kelompok ancaman terus-menerus (APT) yang dianggap terkait Korea Utara. Sanksi ekonomi terhadap negara yang diberlakukan karena app nuklir, pelanggaran hak asasi manusia, dan banyak lagi mungkin ada hubungannya dengan kelompok tersebut, yang berfokus pada serangan bermotif finansial yang telah meluas hingga mencakup cryptocurrency dalam tiga tahun terakhir.

Pemerintah AS mengatakan Lazarus dibentuk pada tahun 2007 dan sejak itu, para peneliti mengaitkan kelompok itu sebagai yang bertanggung jawab atas worldwide Ingin menangis gelombang serangan, itu $ 80 juta Pencurian lender Bangladesh, dan 2018 HaoBao Kampanye pencurian bitcoin.

Lihat juga: AS menuntut dua warga negara China karena mencuci mata uang kripto untuk peretas Korea Utara

Menurut F-Secure, serangan Lazarus terbaru dilacak melalui iklan pekerjaan LinkedIn. Goal manusia, administrator sistem, menerima dokumen phishing di akun LinkedIn pribadi mereka yang terkait dengan perusahaan teknologi blockchain yang mencari sysadmin baru dengan keahlian karyawan.

Email Encryption mirip dengan contoh Lazarus yang sudah tersedia di VirusTotal, termasuk nama, penulis, dan elemen jumlah kata yang sama.

Seperti halnya dengan banyak dokumen phishing, Anda perlu membujuk korban untuk mengaktifkan makro yang menyembunyikan kode berbahaya agar efektif. Dalam kasus ini, dokumen Microsoft Word diklaim dilindungi oleh Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, sehingga, konten dokumen hanya dapat ditampilkan jika makro diaktifkan.

Setelah izin diberikan, makro dokumen membuat document .LNK yang dirancang untuk menjalankan document bernama mshta.exe dan memanggil tautan bit.ly yang terhubung ke VBScript.

Skrip ini melakukan pemeriksaan sistem dan mengirimkan informasi operasional ke host command-and-control (C2). C2 menyediakan skrip PowerShell yang dapat mengambil muatan malware Lazarus.

CNET: Penyelesaian information lokasi Weather Channel tidak berarti banyak untuk privasi Anda

Rantai infeksi berubah tergantung pada konfigurasi sistem dan berbagai alat yang digunakan oleh pelaku ancaman. Ini termasuk dua implan pintu belakang yang serupa dengan yang telah didokumentasikan oleh Kaspersky (.PDF) dan ESET.

Lazarus juga menggunakan pemuat portabel yang dapat dieksekusi (PE) khusus, dimuat ke dalam proses lsass.exe sebagai paket 'keamanan' registri memodifikasi kunci registri menggunakan utilitas Windows schtasks.

Varian malware lain yang digunakan oleh Lazarus dapat menjalankan perintah sewenang-wenang, mendekompresi information dalam memori, serta mengunduh dan mengeksekusi document tambahan. Sampel ini, termasuk document bernama LSSVC.dll, juga digunakan untuk menghubungkan implan pintu belakang ke host goal lainnya.

TechRepublic: CISO harus menempatkan keamanan penipuan iklan pada keamanan mereka

Versi khusus Mimikatz digunakan untuk mengambil kredensial dari mesin yang terinfeksi, terutama yang memiliki nilai finansial – seperti dompet cryptocurrency atau rekening bank online.

F-Secure mengatakan bahwa Lazarus telah berusaha untuk menghindari deteksi dengan menghapus bukti, termasuk menghapus peristiwa dan log keamanan. Namun, masih mungkin untuk mengambil beberapa contoh dari perangkat APT saat ini untuk menyelidiki aktivitas grup saat ini.

“Ini adalah penilaian F-Secure bahwa grup tersebut akan terus menargetkan organisasi dalam vertikal cryptocurrency sementara itu tetap menjadi pengejaran yang menguntungkan, tetapi juga dapat memperluas untuk menargetkan elemen rantai pasokan vertikal untuk meningkatkan pengembalian dan umur panjang kampanye,” kata peneliti.

Cakupan sebelumnya dan terkait


Punya suggestion? Berhubungan dengan aman melalui WhatsApp | Sinyal di +447713 025499, atau lebih di Keybase: charlie0


You may also like
AS meluncurkan kerangka kerja penegakan untuk memerangi teroris, aktivitas cryptocurrency kriminal

AS meluncurkan kerangka kerja penegakan untuk memerangi teroris, aktivitas cryptocurrency kriminal

lebar = 800

Trending sekarang: Dampak Covid-19 pada Pertumbuhan Pasar Cryptocurrency, Segmen, Pendapatan, Produsen & Laporan Riset Perkiraan

Pasar Perangkat Lunak Cryptocurrency Remittance, pemain utama, ukuran, Analisis, pertumbuhan, penelitian, Jenis, Wilayah, dan Prakiraan dari 2020-2024

Pasar Perangkat Lunak Cryptocurrency Remittance, pemain utama, ukuran, Analisis, pertumbuhan, penelitian, Jenis, Wilayah, dan Prakiraan dari 2020-2024

Cryptocurrency Market 2020: Potensi pertumbuhan, valuasi menarik menjadikannya investasi jangka panjang | Ketahui Dampak COVID19 | Pemain Top: Bitmain Technologies Ltd., NVIDIA, Advanced Micro Devices, Inc., Xilinx, dll.