黑客正在使用虚假的加密货币应用程序来传播恶意软件

• Volexity 观察到与朝鲜威胁行为者有关的新活动，其中涉及可能针对加密货币用户和组织的活动。
• 威胁行为者通过恶意 Microsoft Office 文档使用 AppleJeus恶意软件的变体。
• 对部署的 AppleJeus 恶意软件的分析发现了一种新的 DLL 侧加载变体来加载其有效负载。

---

Volexity宣布，该公司已观察到与臭名昭著的朝鲜黑客组织Lazarus Group有关的新活动。该报告显示，威胁行为者将加密货币用户和组织作为目标，使用虚假的加密货币应用程序  通过恶意 Microsoft Office 文档传播AppleJeus恶意软件的变体。

实时加密货币主题网站

在调查过程中，Volexity 发现了一个实时的加密货币主题网站。它的内容是从合法的加密货币网站 HaasOnline 中窃取的。该网站bloxholder[.]com于 2022 年 6 月注册。该网站是在发现一个新的 AppleJeus 恶意软件样本时被发现的，该样本被捆绑为 Microsoft 安装文件的一部分。 

该应用程序也被命名为 BloxHolder，它与开源加密货币交易应用程序 QTBitcoinTrader 一起安装 AppleJeus，这是一个可以在 GitHub 上找到的合法应用程序。据 CISA 报道，这不是黑客组织第一次使用该应用程序。安装应用程序时，MSI 文件还会创建计划任务和其他恶意文件。该任务在登录时执行，并执行另一个合法的可执行文件CameraSettingsUIHost.exe，这是一个帮助在系统上使用网络摄像头的 Microsoft 文件，带有两个参数18e190413af045db88dfbd29609eb877和lion。

命令行上的第二个参数“lion”是 XOR 密钥，长度为 8 个字节，用于解码文件。解码后的 PE 文件是一个有两个变体的下载器。它旨在从系统收集数据并从命令和控制服务器下载 shellcode。收集以下数据：

• MAC地址
• 计算机名称
• 操作系统版本

AppleJeus 变体的网络通信与卡巴斯基 和 CISA先前报告中描述的类似 。Volexity 说，

« Lazarus Group 继续努力瞄准加密货币用户，尽管他们的活动和策略一直受到关注。也许是为了暗示检测，他们决定使用链式 DLL 侧加载来加载他们的有效负载。此外，Volexity 此前并未注意到使用 Microsoft Office 文档部署 AppleJeus 变体。尽管发生了这些变化，但他们的目标保持不变，加密货币行业是朝鲜加强财政的一种手段。»