黑客 加密货币
“Lazarus”黑客组织与以虚构品牌“BloxHolder”传播虚假加密货币应用程序的新攻击有关,攻击者试图安装 AppleJeus 恶意软件访问网络并窃取加密资产。
根据 2021 年 2 月的 FBI 和 CISA 联合报告 ,AppleJeus 至少从 2018 年开始流通,被 Lazarus 用于加密货币劫持和数字资产盗窃行动。
Volexity的一份新报告 发现了新的伪造加密程序和 AppleJeus 活动,这些恶意软件的感染链和能力有进化迹象。
归因于 Lazarus 的新活动于 2022 年 6 月开始,并至少持续到 2022 年 10 月。
在此活动中,攻击者使用了“bloxholder[.]com”域,这是 HaasOnline 自动加密货币交易平台的克隆。
该网站分发了一个 12.7MB 的 Windows MSI 安装程序,它伪装成 BloxHolder 应用程序。然而,实际上,它是与 QTBitcoinTrader 应用程序捆绑在一起的 AppleJeus 恶意软件。
2022 年 10 月,黑客组织将他们的活动发展为使用 Microsoft Office 文档而不是 MSI 安装程序来分发恶意软件。
这份 214KB 的文件名为“OKX Binance & Huobi VIP fee comparison.xls”,包含一个在目标计算机上创建三个文件的宏。
Volexity 无法从后来的感染链中检索到最终有效负载,但他们注意到在之前使用的 MSI 安装程序攻击中发现的 DLL 侧载机制有相似之处,因此他们确信这是同一个活动。
通过 MSI 感染链安装后,AppleJeus 将创建计划任务并将其他文件放入文件夹“%APPDATA%\Roaming\Bloxholder\”。
接下来,恶意软件将收集 MAC 地址、计算机名称和操作系统版本,并通过 POST 请求将其发送到 C2,可能会识别它是在虚拟机还是沙盒上运行。
最近活动中的一个新颖元素是链式 DLL侧载,以从受信任的进程中加载恶意软件,从而逃避安全软件检测。
最近的 AppleJeus 样本中的另一个新特征是它的所有字符串和 API 调用现在都使用自定义算法进行了混淆,使它们对安全产品更加隐蔽。
尽管 Lazarus 对加密货币资产的关注有据可查,但朝鲜黑客仍然专注于窃取数字货币的目标,不断刷新主题并改进工具以尽可能隐蔽。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!