当前位置:首页 > 知识 >

微软发现黑客利用Telegram攻击加密公司

最近,微软公司发现了一次攻击,攻击者被称为DEV-0139,并通过向Telegram群添加加密货币交易平台来获取目标受众。在10月19日,攻击者冒充加密投资管理公司代表邀请目标受众参加另一个Telegram群,让他们反馈加密货币交易平台的费用构造意见。一旦攻击者获得了目标受众的信任,他们向他们推送一个名为“OKXBinance&HuobiVIPfeecomparison.xls”的故意Excel工作表格。该报表中包含加密货币交易所公司的VIP花费构造间的数据,以确保报表的真实性。

微软公司对攻击进行了说明:故意Excel文件将运行下列一系列活动:

1.故意宏混淆代码并查找一些数据信息,使VB消费者文本框无法使用。

2.嵌入在表格中的另一个Excel工作表格将会被隐藏并实施。以上Excel报表以base64编号,并且以名字VSDB688.tmp 放进C:\ProgramData\MicrosoftMedia\文件夹中。

3.文档VSDB688.tmp将下载一个包含三个可执行程序的PNG文档:一个名为logagent.exe的Windows文档,一个故意版本的DLL文件wsock32.dll,以及一个XOR编号侧门。

4.文档logagent.exe用于加载故意wsock32.dll,将其使攻击者可以远程登录受感染的系统软件。

一旦受害人打开文档并启用宏,文档中嵌入的第二个工作表格将免费下载并分析PNG文档,以获取故意DLL、异或运算编号的侧门及其用于侧载DLL的Windows可执行程序。该DLL将破译并载入侧门,为网络攻击提供对受害人全面的远程控制访问。

尽管微软公司没有将此次攻击归功于特定团队,而是将其与DEV-0139威胁主题活动集群结合在一起,但威胁情报信息企业Volexity周末发布自己的关于此次攻击调查报告,称此次攻击涉及北朝鲜Lazarus威胁机构。据Volexity称,北朝鲜黑客使用名为“加密货币交易手续费比较的Excel表格”来攻击Lazarus以前曾用于加密货币挟持和数字货币盗窃行为。此外,Volexity还注意到Lazarus在HaasOnline全自动加密货币交易平台网站上发布了木马病毒程序BloxHolder应用软件,该程序将被部署在QTBitcoinTrader应用软件里的AppleJeus恶意程序中。

Lazarus组织是一个北朝鲜的黑客联盟,自2009年以来已经活跃了十多年。他们广泛袭击全球各个重要目标,包括金融机构、新闻媒体组织和政府部门。

来源:Bowen

猜你喜欢

关注我们

微信二维码

微信