Den berygtede kriminelle kollektivt kendt som Lazarus-gruppen er blevet spottet bag en verdensomspændende phishing-svindel. De er blandt de mest erfarne hacker grupper, der er berygtet for at koordinere masse angreb mod high-end mål. Den nuværende kampagne er fokuseret mod internationale banker og Bitcoin-slutbrugere.
Lazarus-gruppen slår til igen
Ikke meget er kendt om identiteten af Lazarus Group-hackere. Det menes, at de opererer fra Nordkorea og er kendt for at planlægge omfattende kampagner mod højprofilerede mål. Deres første angreb var mod sydkoreanske institutioner bruger distribuerede denial-of-service-angreb sikkerhedskopiere i 2009 og 2012. Gruppen er kendt for at bruge store netværk af botnet knudepunkter, som kontrolleres af gruppen. I de fleste tilfælde de er lavet af hackede computere, der er inficeret med malware kode, rekrutterer dem til netværket. Den kombinerede kollektive netværk magt kan være ødelæggende for websteder og computernetværk, når angrebene er lanceret på en gang.
Det sidste bemærkelsesværdige angreb blev udført i oktober 2017 da Lazarus Group gennemførte en phishing-kampagne mod brugere, der arbejdede i kryptovaluta-virksomheder. Talrige børser og pungholdere blev gjort til ofre under angrebet. Ofrene modtog e-mail-beskeder, der gør brug af social engineering-tricks og inficerede dokumenter. Brugerne instrueres i at køre de vedhæftede eller linkede rich text-dokumenter, der fremstår som filer af brugerinteresse. Så snart de er åbnet, beder en meddelelsesskærm brugerne om at aktivere de indbyggede makroer. Så snart dette er gjort, downloades en virusinfektion fra en hackerserver og etableres på offerets computer. Som et resultat fulgte en meget farlig trojansk infektion. Det menes, at hackerne stod bag nogle af de største cryptocurrency-børser: CoinDash, Bithumb, Veritaseum.
Den igangværende Lazarus-gruppeangrebskampagne
Den igangværende angrebskampagne, der er ansat af Lazarus Group, er døbt HaoBao af sikkerhedseksperterne, der rapporterede det. Ligesom tidligere kampagner afhænger det af phishing-e-mails, der leverer malware-komponenten. Fidustaktikken afhænger af et design, der genskaber beskeden, som den er sendt af et Hongkong-baseret jobrekrutteringsfirma. Det faktiske indhold af e-mails viser, at afsenderne leder efter forretningsudviklingsledere til leje med henvisning til en multinational bank som deres klient. Meddelelserne indeholder et link til et Dropbox-dokument, der er blevet identificeret som ondsindet. Det er et Microsoft Word rich text-dokument, som, når det åbnes, beder ofrene om at aktivere de indbyggede scripts. Når dette er gjort, starter scriptet et virusmodul. Adfærdsmønsteret udfører følgende sæt instruktioner:
- Malwaren downloader en lille infektionsmotor, der begynder at scanne systemet for eventuelle cryptocurrency-punge. De kan være af forskellige typer og understøtte forskellige digitale valutaer. Dette inkluderer normalt den mest populære, såsom Monero, Ethereum, Bitcoin, NEO, Ripple og osv.
- Det næste skridt er at levere en informationsindsamling komponent på de kompromitterede maskiner. Det vil konstant overvåge den inficerede maskine for større systemændringer og softwareinstallationer, der er relateret til cryptocurrency mining.
- En netværksforbindelse etableres med den hacker-kontrollerede kommando og kontrol (C&C) server. Denne foranstaltning hænger sammen med, at hackerne kan fjernscanne systemerne for ændringer og variabler. Nogle af de indsamlede data inkluderer computernavnet, aktuelt logget på bruger og listen over alle kørende applikationer og systemprocesser. Analysen viser også, at hackerne kan fjernscanne for tilstedeværelsen af bestemte registreringsnøgler.
Sikkerhedsanalytikerne bemærker, at en af de nye mekanismer udviklet af Lazarus Group i deres seneste malwareangreb er hurtigscanningsfunktionen. Infektionskommandoerne kan scanne systemerne for tilstedeværelsen af cryptocurrency tegnebøger og supportsoftware på en mere effektiv måde end andre hackerværktøjer.
Vi minder vore læsere, at de kan beskytte sig mod faren ved at bruge en kvalitet anti-spyware løsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: