Атаковавшие Bithumb хакеры используют HWP-документы в новой вредоносной кампании

Северокорейские хакеры используют документы текстового редактора Hangul Word Processor (HWP) в новой вредоносной кампании на криптовалютные обменники. Ответственность за кампанию предположительно несет хакерская группировка Lazarus, сообщают исследователи безопасности из компании AlienVault.

Атаки включают недавнее нападение на Bithumb, крупнейшую криптовалютную биржу в Южной Корее, клиентами которой являются более 1 млн пользователей. В рамках атаки хакерам удалось украсть криптовалюту на сумму более $30 млн.

Как сообщают исследователи, хакеры используют серию вредоносных документов для атак на участников предстоящего саммита G20 в Аргентине. Исследователи проанализировали три похожих вредоносных документа, которые ранее использовали Lazarus. В одном из них упоминается совещание рабочей группы «Большой двадцатки», направленное на координацию экономической политики. Файлы HWP включают вредоносный код, который загружает вредоносное ПО (32-битную или 64-битную версию Manuscrypt).

Помимо этого, исследователи отметили, что фишинговые сайты злоумышленников зарегистрированы на тот же номер телефона, что и домен itaddnet [.]сom и содержат некоторые из вредоносных программ. По словам специалистов, это свидетельствует о заинтересованности злоумышленников в хищении учетных данных.

«Необычно видеть, что Lazarus регистрирует домены - обычно они предпочитают компрометировать легитимные сайты», - отметили специалисты.