De är kända inom darknet underjordiska som "The Lazarus Group" men underrättelseskällor säger att de är Nordkoreas digitala armé. Du kanske har hört namnet tidigare i det beryktade hacket 2014 från Sony Pictures.
Men deras senaste operation har ett nytt mål - cryptocurrency, och upptäcktes av cybersäkerhetsföretaget Secureworks.
Fokus för attacken är chefer vid finansföretag som innehar och hanterar cryptocurrencies, och det fungerar så här - en chef får ett e-postmeddelande, där det sägs att det finns en möjlighet att gå upp i leden och bli företagets finanschef.
Det finns en bilaga i form av en Microsoft-ordfil. När de öppnas får de ett meddelande "redigering måste vara aktiverat för att visa dokumentet" och när användaren klickar "ok" startar det ett inbäddat skript som gör två saker.
Först skapar det sedan oskadligt dokument - en faktisk jobbbeskrivning för att hålla användaren distraherad och intet ont.
För det andra lanserar i hemlighet instillationen av ett trojanskt virus.
 |
| Det oskadliga jobbet beskrivning doc (Bild: Secureworks) |
Medan trojaner för fjärråtkomst inte är något nytt och till och med kan köpas och säljas på underjordiska darknet-forum, vad som sticker ut med det här är att det inte verkar vara en variation av tidigare kända trojaner - den här verkar ha varit nykodad från början .
Genom att utvärdera koden kände Secureworks Counter Threat Unit något från tidigare nordkoreanska operationer - det är starkt beroende av C2-protokollet, som Lazarus-gruppen tidigare har använt för att kommunicera till sina huvudkommandot och kontrollserver.
De första upptäckterna av denna nya attack började i oktober och fortsätter idag.
De som känner att de kan vara målet för sådana attacker rekommenderas att se till att makron är inaktiverade i Microsoft Word och kräver tvåfaktorsautentisering på system med känslig data.
-------
Författare: Ross Davis
San Francisco News Desk
Inga kommentarer
Posta en kommentar