De beruchte crimineel collectief bekend als de Lazarus Group zijn gespot achter een wereldwijde phishing scam. Ze behoren tot de meest ervaren hacker groepen die berucht zijn voor de coördinatie van massale aanvallen op high-end targets. De huidige campagne is gericht tegen de internationale banken en Bitcoin eindgebruikers.
De Lazarus Group Strikes Again
Er is weinig bekend over de identiteit van de Lazarus groep hackers. Er wordt aangenomen dat ze opereren vanuit Noord-Korea en zijn alom bekend voor het plannen van uitgebreide campagnes tegen high-profile doelen. Hun eerste aanvallen waren gericht tegen de Zuid-Koreaanse instellingen die gebruik maken gedistribueerde denial-of-service weer in 2009 en 2012. De groep is bekend voor het gebruik van grote netwerken botnet knooppunten die worden gecontroleerd door de groep. In de meeste gevallen worden ze gemaakt van gehackte computers die zijn geïnfecteerd met malware code die hen werft aan het netwerk. De gecombineerde collectieve macht netwerk kan verwoestende naar sites en computernetwerken zijn wanneer de aanvallen worden gelanceerd in een keer.
De laatste noemenswaardige aanval werd uitgevoerd in oktober 2017 wanneer de Lazarus Group voerde een phishing campagne tegen gebruikers die werkte in cryptogeld vestigingen. Tal van uitwisselingen en portemonnee houders werden slachtoffers gemaakt tijdens de aanval. De slachtoffers ontvangen e-mailberichten dat het gebruik van social engineering trucs en besmette documenten. De gebruikers krijgen de opdracht om de bijgevoegde of gekoppelde rich text documenten die zich voordoen als bestanden van de interesse van gebruikers lopen. Zodra ze worden geopend een melding scherm vraagt de gebruikers om de ingebouwde macro's. Zodra dit gedaan is een virusinfectie wordt gedownload van een hacker server en stelde op het slachtoffer computer. Als gevolg daarvan een zeer gevaarlijke Trojan infectie gevolgd. Er wordt aangenomen dat de hackers waren achter een aantal van de grootste cryptogeld uitwisselingen: CoinDash, Bithumb, Veritaseum.
De Lopende Lazarus Group Attack Campaign
De lopende aanval campagne in dienst van de Lazarus Group wordt nagesynchroniseerd HaoBao door de security experts dat het gemelde. Net als de vorige campagnes het hangt af van phishing e-mails die de malware component leveren. De zwendel tactiek hangt af van een ontwerp dat het bericht wordt verzonden door een in Hongkong gevestigde baanrekrutering bedrijf herschept. De werkelijke inhoud van de e-mails blijkt dat de afzenders zijn op zoek naar Business development managers te huur citeren van een multi-nationale bank als hun cliënt. De berichten bevatten een link naar een Dropbox document dat is geïdentificeerd als kwaadaardig. Het is een Microsoft Word-rich text document dat bij het openen vraagt de slachtoffers in staat te stellen de ingebouwde scripts. Wanneer dit gebeurt het script lanceert een virus module. Het gedragspatroon voert de volgende reeks instructies:
- De malware downloadt een kleine infectie motor die begint aan het systeem voor alle cryptogeld portefeuilles te scannen. Ze kunnen van verschillende soorten zijn en het ondersteunen van verschillende digitale valuta. Dit omvat meestal de meest populaire zoals Monero, Ethereum, Bitcoin, NEO, Rimpel en etc.
- De volgende stap is om een te leveren informatie verzamelen component op de getroffen machines. Het zal voortdurend de geïnfecteerde machine voor alle grote veranderingen in het systeem en software-installaties die gerelateerd zijn aan cryptogeld mijnbouw.
- Een netwerkverbinding is gemaakt met de hacker gecontroleerde command and control (C&C) server. Deze maatregel houdt verband met het feit dat de hackers op afstand de systemen scannen op wijzigingen en variabelen. Een deel van de verzamelde gegevens omvatten de naam van de computer, aangemelde gebruiker en de lijst van alle actieve toepassingen en systeemprocessen. De analyse toont ook dat de hackers op afstand scannen op de aanwezigheid van bepaalde registersleutels.
De security analisten er rekening mee dat een van de nieuwe mechanismen door de Lazarus Group in hun nieuwste malware aanval bedacht is de quick scan-functie. De infectie commando's kunnen de systemen voor de aanwezigheid van cryptogeld portefeuilles en ondersteunende software op een efficiëntere manier dan andere hacker gereedschap scannen.
We herinneren onze lezers dat ze zich kunnen beschermen tegen gevaar door gebruik te maken van een kwaliteit anti-spyware oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: