“Lazarus”黑客组织与以虚构品牌“BloxHolder”传播虚假加密货币应用程序的新攻击有关，攻击者试图安装 AppleJeus 恶意软件访问网络并窃取加密资产。

根据 2021 年 2 月的 FBI 和 CISA 联合报告 ，AppleJeus 至少从 2018 年开始流通，被 Lazarus 用于加密货币劫持和数字资产盗窃行动。

Volexity的一份新报告 发现了新的伪造加密程序和 AppleJeus 活动，这些恶意软件的感染链和能力有进化迹象。

归因于 Lazarus 的新活动于 2022 年 6 月开始，并至少持续到 2022 年 10 月。

在此活动中，攻击者使用了“bloxholder[.]com”域，这是 HaasOnline 自动加密货币交易平台的克隆。

合法（左）和克隆网站（右）(Volexity)

该网站分发了一个 12.7MB 的 Windows MSI 安装程序，它伪装成 BloxHolder 应用程序。然而，实际上，它是与 QTBitcoinTrader 应用程序捆绑在一起的 AppleJeus 恶意软件。

2022 年 10 月，黑客组织将他们的活动发展为使用 Microsoft Office 文档而不是 MSI 安装程序来分发恶意软件。

这份 214KB 的文件名为“OKX Binance & Huobi VIP fee comparison.xls”，包含一个在目标计算机上创建三个文件的宏。

Volexity 无法从后来的感染链中检索到最终有效负载，但他们注意到在之前使用的 MSI 安装程序攻击中发现的 DLL 侧载机制有相似之处，因此他们确信这是同一个活动。

通过 MSI 感染链安装后，AppleJeus 将创建计划任务并将其他文件放入文件夹“%APPDATA%\Roaming\Bloxholder\”。

接下来，恶意软件将收集 MAC 地址、计算机名称和操作系统版本，并通过 POST 请求将其发送到 C2，可能会识别它是在虚拟机还是沙盒上运行。

最近活动中的一个新颖元素是链式 DLL侧载，以从受信任的进程中加载恶意软件，从而逃避安全软件检测。

最近的 AppleJeus 样本中的另一个新特征是它的所有字符串和 API 调用现在都使用自定义算法进行了混淆，使它们对安全产品更加隐蔽。

尽管 Lazarus 对加密货币资产的关注有据可查，但朝鲜黑客仍然专注于窃取数字货币的目标，不断刷新主题并改进工具以尽可能隐蔽。