Северокорейские хакеры используют документы текстового редактора Hangul Word Processor (HWP) в новой вредоносной кампании на криптовалютные обменники. Ответственность за кампанию предположительно несет хакерская группировка Lazarus, сообщают исследователи безопасности из компании AlienVault.
Атаки включают недавнее нападение на Bithumb, крупнейшую криптовалютную биржу в Южной Корее, клиентами которой являются более 1 млн пользователей. В рамках атаки хакерам удалось украсть криптовалюту на сумму более $30 млн.
Как сообщают исследователи, хакеры используют серию вредоносных документов для атак на участников предстоящего саммита G20 в Аргентине. Исследователи проанализировали три похожих вредоносных документа, которые ранее использовали Lazarus. В одном из них упоминается совещание рабочей группы «большой двадцатки», направленное на координацию экономической политики. Файлы HWP включают вредоносный код, который загружает вредоносное ПО (32-битную или 64-битную версию Manuscrypt).
Помимо этого, исследователи отметили, что фишинговые сайты злоумышленников зарегистрированы на тот же номер телефона, что и домен itaddnet [.]сom и содержат некоторые из вредоносных программ. По словам специалистов, это свидетельствует о заинтересованности злоумышленников в хищении учетных данных.
«Необычно видеть, что Lazarus регистрирует домены — обычно они предпочитают компрометировать легитимные сайты», — отметили специалисты.

Источник: securitylab.ru