朝鲜 Lazarus Group 以旧招式的新玩法瞄准加密基金

据悉，微软报告称，已经确定了一个针对加密货币投资初创公司的威胁行为者。微软将DEV-0139称为Telegram上的一家加密货币投资公司，并使用带有“精心设计”的恶意软件武器化的Excel文件来感染系统，然后远程访问该系统。

该威胁是显示高度复杂的攻击趋势的一部分。微软在12月6日的一篇博客文章中写道，在这种情况下，威胁行为者使用OKX员工的虚假个人资料错误地识别自己，加入了“用于促进VIP客户与加密货币交易平台之间的沟通”的Telegram群组。微软解释说：“我们[…]看到更复杂的攻击，其中威胁行为者表现出丰富的知识和准备，在部署有效载荷之前采取措施获得目标的信任。”

10月，目标受邀加入一个新群组，然后就一份比较OKX、币安和火币VIP费用结构的Excel文档征求反馈意见。该文件提供了准确的信息和对加密交易现实的高度认识，但它也无形中加载了一个恶意的.dll（动态链接库）文件，以在用户系统中创建一个后门。然后在讨论费用的过程中要求目标自己打开.dll文件。

攻击技术本身早已为人所知。微软表示，威胁行为者与6月份发现的出于类似目的使用.dll文件的人是同一人，这可能也是其他事件的幕后黑手。根据微软的说法，DEV-0139与网络安全公司Volexity与朝鲜国家支持的LazarusGroup相关联的是同一个攻击者，使用一种名为AppleJeus的恶意软件变体和MSI（微软安装程序）。美国联邦网络安全和基础设施安全局在2021年记录了AppleJeus，卡巴斯基实验室在2020年对其进行了报告。

美国财政部已正式将拉撒路集团与朝鲜的核武器计划联系起来。