微软的安全部门 新闻稿 昨天,即 6 月 XNUMX 日,发现了针对加密货币初创公司的攻击。 他们通过 Telegram 聊天获得信任,并发送了一份名为“OKX Binance 和 Huobi VIP 费用比较.xls”的 Excel,其中包含可以远程访问受害者系统的恶意代码。
安全威胁情报团队已追踪到威胁行为者为 DEV-0139。 黑客能够渗透到消息应用程序 Telegram 上的聊天组,伪装成加密货币投资公司的代表,并假装与主要交易所的 VIP 客户讨论交易费用。
目标是诱骗加密投资基金下载 Excel 文件。 该文件包含有关主要加密货币交易所费用结构的准确信息。 另一方面,它有一个恶意宏,会在后台运行另一个 Excel 工作表。 这样,这个坏人就可以远程访问受害者的受感染系统。
微软 解释说:“Excel 文件中的主工作表受到密码 Dragon 的保护,以鼓励目标启用宏。” 他们补充道:“在安装并运行存储在 Base64 中的其他 Excel 文件后,该工作表就不再受到保护。 这很可能是用来欺骗用户启用宏而不引起怀疑。”
据报道,XNUMX月份, cryptocurrency 挖矿恶意软件活动感染了超过 111,000 名用户。
威胁情报将 DEV-0139 与朝鲜 Lazarus 威胁组织联系起来。
除了恶意宏 Excel 文件之外,DEV-0139 还提供了一个有效负载作为此欺骗的一部分。 这是一个用于 CryptoDashboardV2 应用程序的 MSI 包,具有相同的干扰。 这使得一些情报表明他们也是使用相同技术推送自定义有效负载的其他攻击的幕后黑手。
在最近发现 DEV-0139 之前,还存在其他类似的网络钓鱼攻击,一些威胁情报团队认为这些攻击可能是 DEV-0139 所为。
威胁情报公司 Volexity 也在周末发布了有关此次攻击的调查结果,将其与 朝鲜拉撒路 威胁组织。
据 Volexity 报道,朝鲜 黑客 使用类似的恶意加密货币交易费用比较电子表格来删除 AppleJeus 恶意软件。 这就是他们在加密货币劫持和数字资产盗窃行动中使用的方法。
Volexity 还发现 Lazarus 使用 HaasOnline 自动加密货币交易平台的网站克隆。 他们分发了一个木马 Bloxholder 应用程序,该应用程序会部署捆绑在 QTBitcoinTrader 应用程序中的 AppleJeus 恶意软件。
Lazarus Group 是一个在朝鲜活动的网络威胁组织。 它自 2009 年左右开始活跃。它因攻击全球知名目标而臭名昭著,包括银行、媒体组织和政府机构。
该组织还涉嫌对 2014 年索尼影业黑客攻击和 2017 年 WannaCry 勒索软件攻击负责。
资料来源:https://crypto.news/microsoft-exposes-north-korea-lated-hacker-targeting-crypto-startups/