元宇宙非小号金色财经交流群社区官网

微软发现黑客利用Telegram攻击加密公司

浏览:137|时间:2023-06-11 03:23:36
最近,微软公司发现了一次攻击,攻击者被称为DEV-0139,并通过向Telegram群添加加密货币交易平台来获取目标受众。在10月19日,攻击者冒充加密投资管理公司代表邀请目标受众参加另一个Telegram群,让他们反馈加密货币交易平台的费用构造意见。一旦攻击者获得了目标受众的信任,他们向他们推送一个名为“OKXBinance&HuobiVIPfeecomparison.xls”的故意Excel工作表格。该报表中包含加密货币交易所公司的VIP花费构造间的数据,以确保报表的真实性。

微软公司对攻击进行了说明:故意Excel文件将运行下列一系列活动:

1.故意宏混淆代码并查找一些数据信息,使VB消费者文本框无法使用。

2.嵌入在表格中的另一个Excel工作表格将会被隐藏并实施。以上Excel报表以base64编号,并且以名字VSDB688.tmp 放进C:\ProgramData\MicrosoftMedia\文件夹中。

3.文档VSDB688.tmp将下载一个包含三个可执行程序的PNG文档:一个名为logagent.exe的Windows文档,一个故意版本的DLL文件wsock32.dll,以及一个XOR编号侧门。

4.文档logagent.exe用于加载故意wsock32.dll,将其使攻击者可以远程登录受感染的系统软件。

一旦受害人打开文档并启用宏,文档中嵌入的第二个工作表格将免费下载并分析PNG文档,以获取故意DLL、异或运算编号的侧门及其用于侧载DLL的Windows可执行程序。该DLL将破译并载入侧门,为网络攻击提供对受害人全面的远程控制访问。

尽管微软公司没有将此次攻击归功于特定团队,而是将其与DEV-0139威胁主题活动集群结合在一起,但威胁情报信息企业Volexity周末发布自己的关于此次攻击调查报告,称此次攻击涉及北朝鲜Lazarus威胁机构。据Volexity称,北朝鲜黑客使用名为“加密货币交易手续费比较的Excel表格”来攻击Lazarus以前曾用于加密货币挟持和数字货币盗窃行为。此外,Volexity还注意到Lazarus在HaasOnline全自动加密货币交易平台网站上发布了木马病毒程序BloxHolder应用软件,该程序将被部署在QTBitcoinTrader应用软件里的AppleJeus恶意程序中。

Lazarus组织是一个北朝鲜的黑客联盟,自2009年以来已经活跃了十多年。他们广泛袭击全球各个重要目标,包括金融机构、新闻媒体组织和政府部门。

来源:Bowen

公司 加密 微软 黑客

本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All