“Lazarus”黑客使用新的假加密应用程序破坏网络,窃取加密货币

2022-12-08|

“Lazarus”黑客组织与以虚构品牌“BloxHolder”传播虚假加密货币应用程序的新攻击有关,攻击者试图安装 AppleJeus 恶意软件访问网络并窃取加密资产。

根据 2021 年 2 月的 FBI 和 CISA 联合报告 ,AppleJeus 至少从 2018 年开始流通,被 Lazarus 用于加密货币劫持和数字资产盗窃行动。

Volexity的一份新报告 发现了新的伪造加密程序和 AppleJeus 活动,这些恶意软件的感染链和能力有进化迹象。

归因于 Lazarus 的新活动于 2022 年 6 月开始,并至少持续到 2022 年 10 月。

在此活动中,攻击者使用了“bloxholder[.]com”域,这是 HaasOnline 自动加密货币交易平台的克隆。

合法(左)和克隆网站(右)(Volexity)

该网站分发了一个 12.7MB 的 Windows MSI 安装程序,它伪装成 BloxHolder 应用程序。然而,实际上,它是与 QTBitcoinTrader 应用程序捆绑在一起的 AppleJeus 恶意软件。

2022 年 10 月,黑客组织将他们的活动发展为使用 Microsoft Office 文档而不是 MSI 安装程序来分发恶意软件。

这份 214KB 的文件名为“OKX Binance & Huobi VIP fee comparison.xls”,包含一个在目标计算机上创建三个文件的宏。

Volexity 无法从后来的感染链中检索到最终有效负载,但他们注意到在之前使用的 MSI 安装程序攻击中发现的 DLL 侧载机制有相似之处,因此他们确信这是同一个活动。

通过 MSI 感染链安装后,AppleJeus 将创建计划任务并将其他文件放入文件夹“%APPDATA%\Roaming\Bloxholder\”。

接下来,恶意软件将收集 MAC 地址、计算机名称和操作系统版本,并通过 POST 请求将其发送到 C2,可能会识别它是在虚拟机还是沙盒上运行。

最近活动中的一个新颖元素是链式 DLL侧载,以从受信任的进程中加载恶意软件,从而逃避安全软件检测。

最近的 AppleJeus 样本中的另一个新特征是它的所有字符串和 API 调用现在都使用自定义算法进行了混淆,使它们对安全产品更加隐蔽。

尽管 Lazarus 对加密货币资产的关注有据可查,但朝鲜黑客仍然专注于窃取数字货币的目标,不断刷新主题并改进工具以尽可能隐蔽。


标签: 加密 AppleJeus 恶意 货币 软件 活动 安装 BloxHolder Lazarus 程序

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护