微软的安全威胁情报团队透露,通过最近调查的一次攻击,被追踪为DEV-0139的威胁团伙使用Telegram聊天组来瞄准加密货币投资公司。
DEV-0139加入了用来促进VIP客户与加密货币交易平台沟通的电报组,从成员身上确定了自己的目标。
在获得目标的信任后,攻击者向他们发送了一个名为“okx bin ance huo bi VIP fee comparison . xls”的恶意Excel电子表格,其中包含加密货币兑换公司VIP费用结构之间的数据比较(可能是为了提高可信度而精确)。
恶意Excel工作表(泄漏计算机)
一旦受害者打开文档并启用宏,文件中嵌入的第二个工作表将下载并解析PNG文件,以提取恶意的DLL、XOR编码的后门以及合法的Windows可执行文件,然后用于侧加载DLL。DLL将解密并加载后门程序,使攻击者能够远程访问受害者受损的系统。
作为这项活动的一部分,DEV-0139还提供了第二个有效载荷,即CryptoDashboardV2应用程序的MSI包,这表明他们也支持其他使用相同技术推送自定义有效载荷的攻击。
微软并未将此次攻击归咎于某个特定团体,而是选择将其与DEV-0139威胁活动集群联系起来。然而,威胁情报公司Volexity在周末发布了自己对这次攻击的调查结果,将其与Lazarus威胁组织联系起来。
Volexity称,Lazarus黑客利用恶意加密货币交易成本的对比电子表格删除了AppleJeus恶意软件Lazarus,该软件此前被用于加密货币劫持和数字资产盗窃。
Volexity还观察到,Lazarus利用HaasOnline自动加密货币交易平台的网站克隆分发木马BloxHolder应用程序,该程序会部署捆绑在QTBitcoinTrader应用程序中的AppleJeus恶意软件。
微软表示,它已经通知了受到攻击或成为这些攻击目标的客户,并分享了保护其账户所需的信息。
