Microsoft ve siber güvenlik firması Volexity, AppleJeus kötü amaçlı yazılımının yeni bir sürümünün izini sürerek Ronin istismarının ve çok sayıda başka çevrimiçi soygunun arkasındaki bilgisayar korsanlarına ulaştı.
Microsoft, kripto para birimi yatırım girişimlerini hedef alan bir tehdit aktörünün belirlendiğini bildirdi. Microsoft’un DEV-0139 olarak adlandırdığı bir taraf, Telegram’da bir kripto para birimi yatırım şirketi gibi göründü ve daha sonra uzaktan eriştiği sistemlere bulaşmak için “iyi hazırlanmış” kötü amaçlı yazılımla silah haline getirilmiş bir Excel dosyası kullandı.
Tehdit, yüksek düzeyde karmaşıklık gösteren saldırı eğiliminin bir parçasıdır. Bu durumda, kendisini yanlışlıkla OKX çalışanlarının sahte profilleriyle tanımlayan tehdit aktörü, Microsoft’un 6 Aralık tarihli bir blog gönderisinde “VIP istemciler ve kripto para birimi takas platformları arasındaki iletişimi kolaylaştırmak için kullanılan” Telegram gruplarına katıldığını yazdı . Microsoft’un açıklaması:
“Tehdit aktörünün büyük bilgi ve hazırlık gösterdiği, yükleri konuşlandırmadan önce hedefinin güvenini kazanmak için adımlar attığı daha karmaşık saldırılar görüyoruz.”
Ekim ayında hedef, yeni bir gruba katılmaya davet edildi ve ardından OKX, Binance ve Huobi VIP ücret yapılarını karşılaştıran bir Excel belgesi hakkında geri bildirim istedi. Belge, kripto ticaretinin gerçekliği hakkında doğru bilgi ve yüksek farkındalık sağladı, ancak aynı zamanda kullanıcının sistemine bir arka kapı oluşturmak için kötü amaçlı bir .dll (Dinamik Bağlantı Kitaplığı) dosyasını görünmez bir şekilde yandan yükledi. Daha sonra hedeften, ücretlerle ilgili tartışma sırasında .dll dosyasını kendilerinin açması istendi.
Saldırı tekniğinin kendisi uzun zamandır bilinmektedir . Microsoft, tehdit aktörünün Haziran ayında .dll dosyalarını benzer amaçlarla kullandığı tespit edilenle aynı olduğunu ve muhtemelen diğer olayların da arkasında bu olduğunu öne sürdü. Microsoft’a göre DEV-0139, siber güvenlik firması Volexity’nin AppleJeus olarak bilinen bir kötü amaçlı yazılım türü ve bir MSI (Microsoft yükleyici) kullanarak Kuzey Kore’nin devlet destekli Lazarus Group’a bağladığı aktörün aynısıdır. Amerika Birleşik Devletleri federal Siber Güvenlik ve Altyapı Güvenliği Ajansı , AppleJeus’u 2021’de belgeledi ve Kaspersky Labs , 2020’de rapor etti.
ABD Hazine Bakanlığı , Lazarus Group’u Kuzey Kore’nin nükleer silah programına resmen bağladı .