微软公司对攻击进行了说明:故意Excel文件将运行下列一系列活动:
1.故意宏混淆代码并查找一些数据信息,使VB消费者文本框无法使用。
2.嵌入在表格中的另一个Excel工作表格将会被隐藏并实施。以上Excel报表以base64编号,并且以名字VSDB688.tmp 放进C:\ProgramData\MicrosoftMedia\文件夹中。
3.文档VSDB688.tmp将下载一个包含三个可执行程序的PNG文档:一个名为logagent.exe的Windows文档,一个故意版本的DLL文件wsock32.dll,以及一个XOR编号侧门。
4.文档logagent.exe用于加载故意wsock32.dll,将其使攻击者可以远程登录受感染的系统软件。
一旦受害人打开文档并启用宏,文档中嵌入的第二个工作表格将免费下载并分析PNG文档,以获取故意DLL、异或运算编号的侧门及其用于侧载DLL的Windows可执行程序。该DLL将破译并载入侧门,为网络攻击提供对受害人全面的远程控制访问。
尽管微软公司没有将此次攻击归功于特定团队,而是将其与DEV-0139威胁主题活动集群结合在一起,但威胁情报信息企业Volexity周末发布自己的关于此次攻击调查报告,称此次攻击涉及北朝鲜Lazarus威胁机构。据Volexity称,北朝鲜黑客使用名为“加密货币交易手续费比较的Excel表格”来攻击Lazarus以前曾用于加密货币挟持和数字货币盗窃行为。此外,Volexity还注意到Lazarus在HaasOnline全自动加密货币交易平台网站上发布了木马病毒程序BloxHolder应用软件,该程序将被部署在QTBitcoinTrader应用软件里的AppleJeus恶意程序中。
Lazarus组织是一个北朝鲜的黑客联盟,自2009年以来已经活跃了十多年。他们广泛袭击全球各个重要目标,包括金融机构、新闻媒体组织和政府部门。
来源:Bowen
