Tentera digital Korea Utara mempunyai sasaran baru: Bitcoin! Tinjauan dalam operasi terbaru mereka, dan masih aktif ...

Mereka dikenali di dalam darknet underground sebagai "Kumpulan Lazarus" tetapi sumber perisikan mengatakan bahawa mereka adalah tentera digital Korea Utara. Anda mungkin pernah mendengar namanya sebelum ini dalam hack Sony Pictures 2014 yang terkenal.

Tetapi operasi terbaru mereka mempunyai sasaran baru - cryptocurrency, dan ditemui oleh syarikat keselamatan siber Secureworks.

Fokus serangan adalah eksekutif di firma kewangan yang memegang dan menguruskan cryptocurrency, dan ia berfungsi seperti ini - seorang eksekutif menerima e-mel, yang menyatakan ada peluang untuk naik pangkat, dan menjadi Ketua Pegawai Kewangan syarikat.

Terdapat lampiran dalam bentuk fail perkataan Microsoft. Ketika dibuka, mereka menerima pemberitahuan "pengeditan mesti diaktifkan untuk melihat dokumen" dan ketika pengguna mengklik "ok" melancarkan skrip tertanam yang melakukan 2 perkara.

Pertama, ia dibuat kemudian membuka dokumen yang tidak berbahaya - penerangan tugas sebenar untuk membuat pengguna terganggu dan tidak mencurigakan.

Kedua, secara diam-diam melancarkan penyebaran virus Trojan.

Dokumen penerangan pekerjaan yang tidak berbahaya (Gambar: Secureworks)

Virus ini dirancang untuk memberi akses jarak jauh sepenuhnya kepada penggodam. Komputer kini berada di bawah kendali sepenuhnya - mereka dapat mencatat apa yang ditaip, melihat apa yang ada di skrin, dan bahkan memasang lebih banyak perisian hasad jika mereka mahu.

Walaupun Trojan akses jauh bukanlah perkara baru dan bahkan boleh dibeli dan dijual di forum darknet bawah tanah, yang menonjol dari ini adalah nampaknya bukan variasi Trojan yang diketahui sebelumnya - ini nampaknya baru dikodkan dari awal .

Dengan menilai kod tersebut, Secureworks Counter Threat Unit mengenali sesuatu dari operasi Korea Utara sebelumnya - ia sangat bergantung pada protokol C2, yang telah digunakan oleh Lazarus Group pada masa lalu untuk berkomunikasi dengan pelayan perintah dan kawalan utama mereka.

Penemuan pertama serangan baru ini bermula pada bulan Oktober, dan berterusan hingga kini.

Mereka yang merasa dapat menjadi sasaran serangan tersebut disarankan untuk memastikan makro dilumpuhkan dalam Microsoft Word, dan memerlukan pengesahan dua faktor pada sistem dengan data sensitif.

-------
Pengarang Ross Davis
Meja Berita San Francisco