Криптовалютні біржі атакують через документи Hangul Word Processor

За даними компанії з кібербезпеки AlienVault, автором заражених документів HWP, що використовуються в недавніх атаках на біржі, є група Lazarus, яку фінансують державні структури Північної Кореї.

Серед інших, від атак впровадження шкідливого коду в документи HWP постраждала найбільша в Південній Кореї криптовалютна біржа Bithumb, у якої хакери вкрали понад 30 мільйонів доларів у криптовалюті.

Вважається, що група Lazarus, або BlueNoroff1 2016, представляє найсерйознішу загрозу для банків і тепер, можливо, і для криптовалютних компаній. В атаках на південнокорейські компанії група Lazarus використала вразливість ActiveX. Тепер хакери також використовують серію вірусів, впроваджених у документи HWP, щоб атакувати учасників нещодавньої фінансової зустрічі G20.

Компанія AlienVault проаналізувала три схожих документи, заражених шкідливим кодом. В одному з них згадується зустріч Робочої групи Великої двадцяти розвиненими країнами.

У файли HWP впроваджено шкідливий код, який встановлює код вірусу на систему, що атакується (наприклад 32-бітну версію Manuscrypt, яка вже була докладно описана іншими дослідниками безпеки). Також використовуються заражені фальшиві резюме. Передбачається, що заражені файли HWP використовувалися групою Lazarus раніше у травні та червні для пограбування біржі Bithumb. 

Криптовалютним компаніям були надіслані підроблені резюме, напрочуд схожі на документи, через які встановлювалася програма Manuscrypt. 

«Поки ми не можемо бути впевнені, але підозрюємо, що це шкідливе ПЗ пов'язане з викраденням коштів на біржі Bithumb», - зазначає AlienVault. 

Схожі заражені HWP документи розсилалися користувачам криптомайданчиків у Південній Кореї раніше.

Крім того, дослідники помітили, що домени, пов'язані з криптовалютним фішингом, зареєстровані на той же номер телефону, що й домен (іноді з програмами). Це означає, що зловмисники також крадуть облікові дані, поряд із розсилкою шкідливого ПЗ.

«Це дивно, що Lazarus має зареєстрований домен, зазвичай група воліє компрометувати чужі законні веб-сайти. Так що це була б незвичайна атака, якщо вона справді здійснювалася членами банди Lazarus», - вважає AlienVault..

Група Lazarus, цілком імовірно, могла зламати біржу Bithumb раніше цього місяця, враховуючи, що вона вже атакувала біржу минулого року, що, ймовірно, надало їй необхідну інформацію, щоб зробити це знову. Протягом року група робила напади і на інші криптовалютні біржі.

«Хакерські атаки групи Lazarus навряд чи припиняться незабаром з огляду на обсяги викрадених коштів. Прибуток, отриманий від атаки на ЦБ Бангладеша - майже 1 млрд. доларів США - становить 3% від ВВП Північної Кореї. Викрадення коштів південнокорейських організацій допомагає Північній Кореї послабити свого найближчого конкурента, сусіда та ідеологічного суперника», - вважає AlienVault.

За матеріалами securityweek.com