此前与犯罪活动有关的朝鲜黑客组织 Lazarus 组织已与一项新的攻击计划相关联,该计划旨在破坏系统并从第三方窃取加密货币。 该活动使用名为 Applejeus 的现有恶意软件产品的修改版本,使用加密站点甚至文件来获取对系统的访问权限。
修改后的 Lazarus 恶意软件使用加密站点作为门面
总部位于华盛顿特区的网络安全公司 Volexity 已将已受到美国政府制裁的朝鲜黑客组织 Lazarus 与涉及使用加密站点感染系统以从第三方窃取信息和加密货币的威胁联系起来。
12 月 1 日发布的一篇博客文章显示,Lazarus 在 6 月注册了一个名为“bloxholder.com”的域名,该域名后来被建立为提供自动加密货币交易服务的企业。 Lazarus 使用该站点作为门面,提示用户下载一个应用程序,该应用程序作为有效负载来传递 Applejeus 恶意软件,目的是从用户的系统中窃取私钥和其他数据。
Lazarus 之前也使用过同样的策略。 然而,这个新方案使用了一种允许应用程序“混淆和减慢”恶意软件检测任务的技术。
文档宏
Volexity 还发现,将此恶意软件传送给最终用户的技术在 10 月份发生了变化。 该方法演变为使用 Office 文档,特别是包含宏的电子表格,这是一种嵌入文档中的程序,旨在在计算机中安装 Applejeus 恶意软件。
这份名为“OKX Binance & Huobi VIP fee comparison.xls”的文件显示了这些交易所的每个 VIP 计划在不同级别上可能提供的好处。 为减轻此类攻击,建议阻止文档中宏的执行,同时仔细检查和监控操作系统中新任务的创建,以了解后台运行的新的未识别任务。 但是,Veloxity 没有告知该活动已达到的范围。
Lazarus 于 2021 年 2 月被美国司法部 (DOJ) 正式起诉,涉及与朝鲜情报组织侦察总局 (RGB) 有关联的组织的一名特工。 在此之前,2020 年 3 月,美国司法部起诉两名中国公民协助洗钱超过 1 亿美元的与 Lazarus 漏洞利用相关的加密货币。
你如何看待 Lazarus 最新的加密货币恶意软件活动? 在下面的评论部分告诉我们。
