记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

朝鲜黑客传播伪装成加密货币应用程序的 AppleJeus 恶意软件

2022-12-06 12:01

Hackernews 编译,转载请注明出处:

微信截图_20221206100402

根据Volexity的最新发现,Lazarus Group黑客将虚假加密货币应用程序作为诱饵,来交付以前未记录的AppleJeus恶意软件版本。

研究人员Callum Roxan、Paul Rascagneres和Robert Jan Mora:“这个活动很可能涉及一项可能针对加密货币用户和组织的活动,通过恶意Microsoft Office文档使用AppleJeus恶意软件的变体。”

众所周知,朝鲜政府采取三管齐下的方法,利用恶意网络活动,精心策划收集情报,进行攻击,并为受制裁的国家创造非法收入。这些威胁以Lazarus Group(又名Hidden Cobra或Zinc)的名义进行集体跟踪。

根据美国情报机构发布的2021年年度威胁评估报告,“朝鲜对全球金融机构和加密货币交易所进行了网络盗窃,窃取了数亿美元,可能是为了资助政府的优先事项,例如其核武器和导弹项目。”

今年四月早些时候,网络安全和基础设施安全局(CISA)警告说,一个名为TraderTraitor的活动集群通过Windows和macOS的木马加密应用程序针对加密货币交易所和交易公司。

微信截图_20221206100414

虽然TraderTraitor攻击最终导致Manuscrypt远程访问木马的部署,但新活动利用了一个名为BloxHolder的加密交易网站,这是合法HaasOnline平台的模仿者,通过安装程序文件交付AppleJeus

2018年卡巴斯基首次记录的AppleJeus旨在获取有关受感染系统的信息(即MAC地址、计算机名称和操作系统版本),并从命令和控制(C2)服务器下载shellcode。

据说攻击链在2022年10月略有偏差,对手从MSI安装程序文件转向了一个陷阱式的Microsoft Excel文档,该文档使用宏从OpenDrive下载远程托管的有效负载,即PNG图像。

Volexy表示,切换背后的想法可能会减少安全产品的静态检测,并补充说,它无法从OpenDrive链接获取图像文件(“Background.png”),但指出它嵌入了三个文件,包括随后被提取并在受感染主机上启动的编码有效载荷。

研究人员总结道:“Lazarus Group继续致力于瞄准加密货币用户,尽管他们的活动和策略一直受到关注。”

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文


知识来源: https://hackernews.cc/archives/42821
想收藏或者和大家分享这篇好文章→复制链接地址

“朝鲜黑客传播伪装成加密货币应用程序的 AppleJeus 恶意软件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁