朝鮮黑客傳播偽裝成加密貨幣應用程序的惡意軟件
根據Volexity的最新發現,Lazarus Group黑客將虛假加密貨幣應用程序作為誘餌,來交付以前未記錄的AppleJeus惡意軟件版本。
研究人員Callum Roxan、Paul Rascagneres和Robert Jan Mora說:“這個活動很可能涉及一項可能針對加密貨幣用戶和組織的活動,通過惡意Microsoft Office文檔使用AppleJeus惡意軟件的變體。”
眾所周知,朝鮮政府采取三管齊下的方法,利用惡意網絡活動,精心策劃收集情報,進行攻擊,并為受制裁的國家創造非法收入。這些威脅以Lazarus Group(又名Hidden Cobra或Zinc)的名義進行集體跟蹤。
根據美國情報機構發布的2021年年度威脅評估報告,“朝鮮對全球金融機構和加密貨幣交易所進行了網絡盜竊,竊取了數億美元,可能是為了資助政府的優先事項,例如其核武器和導彈項目。”
今年四月早些時候,網絡安全和基礎設施安全局(CISA)警告說,一個名為TraderTraitor的活動集群通過Windows和macOS的木馬加密應用程序針對加密貨幣交易所和交易公司。
雖然TraderTraitor攻擊最終導致Manuscrypt遠程訪問木馬的部署,但新活動利用了一個名為BloxHolder的加密交易網站,這是合法HaasOnline平臺的模仿者,通過安裝程序文件交付AppleJeus。
2018年卡巴斯基首次記錄的AppleJeus旨在獲取有關受感染系統的信息(即MAC地址、計算機名稱和操作系統版本),并從命令和控制(C2)服務器下載shellcode。
據說攻擊鏈在2022年10月略有偏差,對手從MSI安裝程序文件轉向了一個陷阱式的Microsoft Excel文檔,該文檔使用宏從OpenDrive下載遠程托管的有效負載,即PNG圖像。
Volexy表示,切換背后的想法可能會減少安全產品的靜態檢測,并補充說,它無法從OpenDrive鏈接獲取圖像文件(“Background.png”),但指出它嵌入了三個文件,包括隨后被提取并在受感染主機上啟動的編碼有效載荷。
研究人員總結道:“Lazarus Group繼續致力于瞄準加密貨幣用戶,盡管他們的活動和策略一直受到關注。”
