微软:黑客通过Telegram瞄准加密货币公司

2022-12-08|

微软安全威胁情报团队透露,通过最近调查的一次攻击,其中被追踪为 DEV-0139 的威胁团伙利用 Telegram 聊天组将目标锁定在加密货币投资公司。

DEV-0139加入了用于促进 VIP 客户和加密货币交易平台之间沟通的电报群,并从成员中确定了他们的目标。

在获得目标的信任后,攻击者向他们发送了名为“OKX Binance & Huobi VIP fee comparison.xls”的恶意 Excel 电子表格,其中包含加密货币交易所公司 VIP 费用结构之间的数据比较(可能准确以提高可信度)。

恶意 Excel 工作表 (BleepingComputer)

一旦受害者打开文档并启用宏,文件中嵌入的第二个工作表将下载并解析 PNG 文件以提取恶意 DLL、异或编码的后门以及随后用于侧载 DLL 的合法 Windows 可执行文件。该 DLL 将解密并加载后门,为攻击者提供对受害者受损系统的远程访问权限。

作为此次活动的一部分,DEV-0139 还提供了第二个有效负载,即 CryptoDashboardV2 应用程序的 MSI 包,这表明他们还支持使用相同技术推送自定义有效负载的其他攻击。

微软并没有将这次攻击归因于特定的团体,而是选择将其与 DEV-0139 威胁活动集群联系起来,但威胁情报公司 Volexity 在周末发布了自己关于这次攻击的调查结果,将其与Lazarus 威胁组织。

Volexity 称,Lazarus黑客使用恶意加密货币交易费用比较电子表格来删除 AppleJeus 恶意软件 Lazarus 之前曾用于加密货币劫持和数字资产盗窃行动。

Volexity 还观察到 Lazarus 使用 HaasOnline 自动加密货币交易平台的网站克隆来分发木马化的 BloxHolder 应用程序,该应用程序将部署捆绑在 QTBitcoinTrader 应用程序中的 AppleJeus 恶意软件。

微软表示,它已通知受到攻击或成为这些攻击目标的客户,并分享了保护其帐户所需的信息。


标签: 加密 货币 恶意 攻击 威胁 微软 应用程序 目标 Lazarus 攻击者

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护