Microsoft: Lazarus Group vormt nieuwe bedreiging voor digitale activafondsen

Microsoft heeft samen met het cybersecuritybedrijf Volexity een nieuwe dreiging ontdekt. De dreiging stelt hackers in staat om virtuele valuta te stelen via malware dat is ingebed in een Excel-werkdocument.

Dreiging ‘DEV-0139’

De dreiging wordt door Microsoft gelabeld als ‘DEV-0139’ en kan in verband worden gebracht met de Noord-Koreaanse hackbende met de naam de Lazarus Group. Zij hebben een nieuwe variant van malware op de markt gebracht die bekend staat als ‘AppleJeus’. Microsoft heeft bevestigt dat de nieuwste dreiging een bewijs is van de mate van verfijning die de hackers de afgelopen maanden hebben bereikt. Microsoft zei het volgende in een verklaring:

Aanvallen gericht op deze markt hebben vele vormen aangenomen, waaronder fraude, misbruik van kwetsbaarheden, nep-applicaties en het gebruik van informatie-dieven, terwijl aanvallers proberen cryptocurrency-fondsen in handen te krijgen. Wij zien ook complexere aanvallen waarbij de bedreigingsactor grote kennis en voorbereiding toont en stappen onderneemt om het vertrouwen van zijn doelwit te winnen voordat payloads worden ingezet.

Hackers wonnen eerst vertrouwen van slachtoffers

Naar verluidt richtte de hackers zich met de nieuwe malware voornamelijk op investeringsmaatschappijen voor digitale activa via de berichtendienst van Telegram. Dit door zich in eerste instantie aan te sluiten bij diverse investeringsgroepen en zich als een andere investeringsmaatschappij voor te doen. Hierdoor konden ze slachtoffers lokken naar hun eigen chatgroepen terwijl ze om feedback zouden vragen over onder andere de vergoedingenstructuur die wordt gebruikt door bedrijven die digitale activa verhandelen. Hierdoor konden ze in eerste instantie onopgemerkt blijven.

Vervolgens wonnen ze in wezen het vertrouwen van hun slachtoffers. Nadat ze dit vertrouwen hadden gewonnen, stuurden ze een Excel-bestand genaamd ‘OKX Binance & Huobi VIP fee comparison.xls’, een Excel-bestand. Dit bestand fungeert echter niet als regulier Excel-sheet, maar juist als een Trojaans paard met een kwaadaardige macro op de achtergrond. Eenmaal geopend werd het systeem van het slachtoffer geïnjecteerd met malware, waarna de hackers de controle kregen.

Microsoft waarschuwde investeringsfondsen voor digitale activa in hun rapport om op hun hoede te blijven voor ongevraagde communicatie op sociale-mediaplatforms en de gewoonte te promoten om onverwachte e-mails te verwijderen. Andere preventieve maatregelen zijn onder meer ervoor zorgen dat er een goed werkende antivirus op de systemen geïnstalleerd worden met een goed werkende firewall. Alhoewel dit wellicht niet 100% dekkend is, is het wel een erg goede start om een eventuele hack te voorkomen.

De Lazarus Hack Group

De hackgroup uit Noord-Korea, de Lazarus Group, wordt nu gezien als het brein achter het nieuwe plan. Het cyberbeveiligingsbedrijf Volexity merkte hierbij op dat de door de staat gesponsorde groep eerder een variant van nagenoeg dezelfde malware had ingezet.

Destijds sloeg Kaspersky Labs, bekend van het antivirusprogramma Kaspersky, alarm over het gebruik van die variant, in 2020. Lazarus is in verband gebracht met verschillende lafhartige aanvallen in de digitale-activa-industrie, waaronder de Axie Infinity-hack van $625 miljoen en verschillende aanvallen op Japanse crypto-exchanges. Het is nog niet bekend hoe grootschalig deze cyberaanval precies is. Potentieel kan er echter veel buit gemaakt worden.