微软表示,加密货币投资公司已成为其追踪为 DEV-0139 的威胁组织的目标,通过用于与公司的 VIP 客户进行通信的电报群。
“微软最近调查了一次攻击,其中被追踪为 DEV-0139 的威胁参与者利用 Telegram 聊天组将目标锁定在加密货币投资公司,”该公司的安全威胁情报团队 透露。
“DEV-0139 加入了用于促进 VIP 客户和加密货币交易平台之间沟通的电报群,并从成员中确定了他们的目标。”
10 月 19 日,对加密投资行业有广泛了解的攻击者邀请了至少一个目标(冒充其他加密资产管理公司的代表)到另一个 Telegram 群,在那里他们要求对加密货币交易平台的费用结构提供反馈。
在获得目标的信任后,威胁行为者向他们发送了名为“OKX Binance & Huobi VIP fee comparison.xls”的恶意 Excel 电子表格,其中包含加密货币交易所公司 VIP 费用结构之间的数据比较(可能准确以提高可信度)。
一旦受害者打开文档并启用宏,文件中嵌入的第二个工作表将下载并解析 PNG 文件以提取恶意 DLL、异或编码的后门以及随后用于侧载 DLL 的合法 Windows 可执行文件。
该 DLL 将解密并加载后门,为攻击者提供对受害者受损系统的远程访问权限。
微软解释说:“Excel 文件中的主工作表受密码 dragon 保护,以鼓励目标启用宏。”
“在安装并运行存储在 Base64 中的其他 Excel 文件后,工作表将不受保护。这很可能用于欺骗用户启用宏,而不是引起怀疑。”
作为此次活动的一部分,DEV-0139 还提供了第二个有效负载,即 CryptoDashboardV2 应用程序的 MSI 包,这表明他们还支持使用相同技术推送自定义有效负载的其他攻击。
虽然微软没有将这次攻击归因于特定的团体,而是选择将其与 DEV-0139 威胁活动集群联系起来,但威胁情报公司 Volexity 也在周末发布了自己关于这次攻击的调查结果,将其与朝鲜联系起来韩国 Lazarus 威胁组织。
据 Volexity 称,朝鲜黑客使用恶意加密货币交易费用比较电子表格来删除 AppleJeus 恶意软件 Lazarus 之前曾用于加密货币劫持和数字资产盗窃行动。
Volexity 还观察到 Lazarus 使用 HaasOnline 自动加密货币交易平台的网站克隆来分发木马化的 BloxHolder 应用程序,该应用程序将部署捆绑在 QTBitcoinTrader 应用程序中的 AppleJeus 恶意软件。
微软表示,它已通知受到攻击或成为这些攻击目标的客户,并分享了保护其帐户所需的信息。
Lazarus Group 是一个在朝鲜以外活动的黑客组织,至少从 2009 年开始活跃了十多年。
它的特工以攻击全球知名目标而闻名,包括银行、媒体组织和政府机构。
该组织被认为对备受瞩目的网络攻击负责,包括 2014 年的索尼影业黑客攻击和 2017 年 的 WannaCry 勒索软件攻击 。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软:黑客通过Telegram瞄准加密货币公司
