微軟的安全部門,在 新聞稿 昨天,6 月 XNUMX 日,發現了針對加密貨幣初創公司的攻擊。 他們通過 Telegram 聊天獲得信任,並發送了一份名為“OKX Binance 和 Huobi VIP 費用比較.xls”的 Excel,其中包含可以遠程訪問受害者係統的惡意代碼。
安全威脅情報小組已將威脅行為者追踪為 DEV-0139。 黑客能夠滲透到消息應用程序 Telegram 上的聊天組,偽裝成一家加密投資公司的代表,並假裝與主要交易所的 VIP 客戶討論交易費用。
目的是誘騙加密投資基金下載 Excel 文件。 該文件包含有關主要加密貨幣交易所費用結構的準確信息。 另一方面,它有一個在後台運行另一個 Excel 工作表的惡意宏。 有了這個,這個壞演員就可以遠程訪問受害者的受感染系統。
Microsoft微軟 解釋說,“Excel 文件中的主工作表受密碼 dragon 保護,以鼓勵目標啟用宏。” 他們補充說,“在安裝並運行存儲在 Base64 中的其他 Excel 文件後,工作表將不受保護。 這很可能用於欺騙用戶啟用宏而不引起懷疑。”
據報導,XNUMX月份, cryptocurrency 挖礦惡意軟件活動感染了超過 111,000 名用戶。
威脅情報將 DEV-0139 與朝鮮 Lazarus 威脅組織聯繫起來。
除了惡意宏 Excel 文件外,DEV-0139 還提供了一個有效負載作為此詭計的一部分。 這是一個用於 CryptoDashboardV2 應用程序的 MSI 包,它支付相同的干擾。 這使得一些情報表明他們也支持使用相同技術推送自定義有效負載的其他攻擊。
在最近發現 DEV-0139 之前,還有其他類似的網絡釣魚攻擊,一些威脅情報團隊認為這些攻擊可能是 DEV-0139 的工作原理。
威脅情報公司 Volexity 也在周末發布了關於這次攻擊的調查結果,將其與 朝鮮拉撒路 威脅組。
據 Volexity 報導,朝鮮 黑客 使用類似的惡意加密貨幣交易費用比較電子表格來刪除 AppleJeus 惡意軟件。 這就是他們在加密貨幣劫持和數字資產盜竊行動中所使用的。
Volexity 還發現 Lazarus 使用 HaasOnline 自動加密交易平台的網站克隆。 他們分發了一個木馬化的 Bloxholder 應用程序,該應用程序將部署捆綁在 QTBitcoinTrader 應用程序中的 AppleJeus 惡意軟件。
Lazarus Group 是一個在朝鮮活動的網絡威脅組織。 它自 2009 年左右開始活躍。它因攻擊全球知名目標而臭名昭著,包括銀行、媒體組織和政府機構。
該組織還被懷疑對 2014 年索尼影業黑客攻擊和 2017 年 WannaCry 勒索軟件攻擊負責。
來源:https://crypto.news/microsoft-exposes-north-korea-related-hacker-targeting-crypto-startups/