微软发现黑客利用Telegram攻击加密公司

最近，微软公司发现了一次攻击，攻击者被称为DEV-0139，并通过向Telegram群添加加密货币交易平台来获取目标受众。在10月19日，攻击者冒充加密投资管理公司代表邀请目标受众参加另一个Telegram群，让他们反馈加密货币交易平台的费用构造意见。一旦攻击者获得了目标受众的信任，他们向他们推送一个名为“OKXBinance&HuobiVIPfeecomparison.xls”的故意Excel工作表格。该报表中包含加密货币交易所公司的VIP花费构造间的数据，以确保报表的真实性。

微软公司对攻击进行了说明：故意Excel文件将运行下列一系列活动：

1.故意宏混淆代码并查找一些数据信息，使VB消费者文本框无法使用。

2.嵌入在表格中的另一个Excel工作表格将会被隐藏并实施。以上Excel报表以base64编号，并且以名字VSDB688.tmp 放进C:\ProgramData\MicrosoftMedia\文件夹中。

3.文档VSDB688.tmp将下载一个包含三个可执行程序的PNG文档：一个名为logagent.exe的Windows文档，一个故意版本的DLL文件wsock32.dll，以及一个XOR编号侧门。

4.文档logagent.exe用于加载故意wsock32.dll，将其使攻击者可以远程登录受感染的系统软件。

一旦受害人打开文档并启用宏，文档中嵌入的第二个工作表格将免费下载并分析PNG文档，以获取故意DLL、异或运算编号的侧门及其用于侧载DLL的Windows可执行程序。该DLL将破译并载入侧门，为网络攻击提供对受害人全面的远程控制访问。

尽管微软公司没有将此次攻击归功于特定团队，而是将其与DEV-0139威胁主题活动集群结合在一起，但威胁情报信息企业Volexity周末发布自己的关于此次攻击调查报告，称此次攻击涉及北朝鲜Lazarus威胁机构。据Volexity称，北朝鲜黑客使用名为“加密货币交易手续费比较的Excel表格”来攻击Lazarus以前曾用于加密货币挟持和数字货币盗窃行为。此外，Volexity还注意到Lazarus在HaasOnline全自动加密货币交易平台网站上发布了木马病毒程序BloxHolder应用软件，该程序将被部署在QTBitcoinTrader应用软件里的AppleJeus恶意程序中。

Lazarus组织是一个北朝鲜的黑客联盟，自2009年以来已经活跃了十多年。他们广泛袭击全球各个重要目标，包括金融机构、新闻媒体组织和政府部门。

来源：Bowen