Web3中文|微软:黑客通过Telegram侵害加密公司

news2024/12/23 6:22:13

微软最近调查了一次攻击,在该攻击中,被追踪为 DEV-0139 的威胁参与者通过加入加密货币交易平台的Telegram群来寻找目标用户。

10月19日,威胁参与者冒充加密资产管理公司的代表邀请目标用户到另一个Telegram群,在那里威胁参与者要求对加密货币交易平台的费用结构提供反馈。

在获得信任后,威胁参与者向他们发送了名为“OKX Binance & Huobi VIP fee comparison.xls”的恶意 Excel 工作表。为了提高表格的可信度,表格里还包含了加密货币交易所公司VIP费用结构之间的数据比较。

微软提供的攻击概述

这个恶意Excel文件会启动以下一系列活动:

1.Excel文件中的恶意宏滥用VBA的用户窗体来混淆代码并检索一些数据。

2.恶意宏会放置嵌入表单中的另一个Excel工作表,并以不可见模式执行它。上述Excel表格以base64编码,并以名称VSDB688.tmp放入C:\ProgramData\Microsoft Media\

3.文件VSDB688.tmp下载一个包含三个可执行文件的 PNG 文件:一个名为logagent.exe的合法 Windows 文件、一个恶意版本的 DLL wsock32.dll和一个 XOR 编码后门。

4.文件logagent.exe用于加载恶意wsock32.dll,它充当合法wsock32.dll的DLL代理。恶意DLL文件用于加载和解密XOR编码的后门,使威胁参与者可以远程访问受感染的系统。

恶意的Excel工作表

一旦受害者打开文档并启用宏,文件中嵌入的第二个工作表将下载并解析PNG文件以提取恶意DLL、异或编码的后门以及用于侧载 DLL 的Windows可执行文件。

该DLL将解密并加载后门,为攻击者提供对受害者系统的远程访问权限。

微软解释说:“Excel文件的主工作表受密码保护,以诱导目标用户启用宏。”

作为此次活动的一部分,DEV-0139 还提供了第二个有效负载,即 CryptoDashboardV2 应用程序的 MSI 包,这表明他们还支持使用相同技术推送自定义有效负载的其他攻击。

MSI 文件的安装细节

虽然微软没有将这次攻击归因于特定的团体,而是选择将其与 DEV-0139 威胁活动集群联系起来,但威胁情报公司 Volexity 在周末发布了自己关于这次攻击的调查结果,称此事件与与朝鲜Lazarus威胁组织有关。

据Volexity称,朝鲜黑客使用“加密货币交易费用比较电子表格”来删除Lazarus之前曾用于加密货币劫持和数字资产盗窃行动。

Volexity 还观察到 Lazarus 使用 HaasOnline 自动加密货币交易平台的网站克隆来发布木马化的 BloxHolder 应用程序,该应用程序将部署捆绑在 QTBitcoinTrader 应用程序中的 AppleJeus 恶意软件。

Lazarus组织是一个朝鲜的黑客组织,从2009年开始,已经在互联网上活跃了十多年。

它的特工以攻击全球知名目标而闻名,包括银行、媒体组织和政府机构。


来源:bleepingcomputer

编译:Bowen@iNFTnews.com

声明:web3中文编译作品,内容仅代表作者立场,且不构成投资建议,请谨慎对待,如文章/素材有侵权,请联系官方客服处理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/71986.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

osgEarth示例分析——osgearth_eci

前言 osgearth_eci示例,展示了J2000的天体坐标系和ECEF地固系的转换,绘制坐标系,以及读取卫星参数绘制卫星的功能。绘制卫星轨迹,添加差值效果和未添加差值的效果。 关于卫星两行根数的数据文件下载路径:CelesTrak: …

0基础怎么转行软件测试?

前言 0基础转行软件测试难吗?怎么学才能找到工作?这应该是所有新人都会面临的问题,所以我结合自己的经历,做了一些总结和学习方法,希望能对大家有所帮助。 我按照薪资的不同大致划分成3个档位: 月薪5-9k&…

高压直流输电(HVDC)的最优潮流(OPF)(Matlab代码实现)

💥💥💥💞💞💞欢迎来到本博客❤️❤️❤️💥💥💥🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清…

ZIP压缩包的自动设置密码可以这样解除

WinRAR设置了自动添加密码,每次压缩完ZIP文件后,都会自带打开密码,打开压缩包里的文件都需要输入密码。如果后续不需要每个ZIP文件都带有密码,要如何去除这个设置呢? 首先,打开WinRAR压缩软件,点…

晶品特装在科创板上市:总市值约为48亿元,前三季度收入下滑12%

12月8日,北京晶品特装科技股份有限公司(下称“晶品特装”,SH:688084)在上海证券交易所科创板上市。本次上市,晶品特装的发行价格为60.98元/股,发行数量为1900万股,募资总额约为11.59亿元&#x…

IncepFormer:用于语义分割的高效inception transformer

前言 语义分割通常得益于全局上下文、精细定位信息、多尺度特征等。为了在这些方面改进基于Transformer的分割器,本文提出了一种简单而强大的语义分割架构——IncepFormer。IncepFormer介绍了一种新颖的金字塔结构Transformer编码器,它同时获取全局上下文…

中药中天然类固醇—艾美捷胆固醇肉豆蔻酸酯

艾美捷胆固醇肉豆蔻酸酯相关参数说明: CAS Registry No.: 1989-52-2 Formal Name: (3β)-cholest-5-en-3-ol 3-tetradecanoate Synonyms: Cholesterol Myristate, Cholesteryl Tetradecanoate, Myristic Acid cholesteryl ester, NSC 226867 MF: C41H72O2 FW: …

[附源码]Python计算机毕业设计Django预约挂号app

项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等等。 环境需要 1.运行环境:最好是python3.7.7,我…

密码学-1-数字签名体制

密码学-1-数字签名体制密码学-2-RSA签名验签方案写在前面 1 数字签名 1.1 什么是数字签名 1.2 数字签名的作用 1.3 数字签名的特性 1.4 数字签名的算法 2 数字签名的原理 2.1 签名过程:创建数字签名 2.2 验证过程:验证数字签名 写在前面 …

Matlab|模拟电动汽车的充放电【充电顺序,波动发电,电池缓冲】

💥💥💥💞💞💞欢迎来到本博客❤️❤️❤️💥💥💥🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清…

使用redis Zset根据score和时间从多个维度进行排序(Zset榜单多维度排序)

文章目录1. 分段bit位实现排序2. 除数实现排序(推荐)3. 基于分段bit为实现的redis排序工具类一般我们都会用redis的Zset这个数据结构来做排行榜 问题引入:使用zSet进行排序的时候一直有一个痛点,就是只能根据score进行排序&#x…

牛客算法刷题-BM6 判断链表中是否有环

描述 判断给定的链表中是否有环。如果有环则返回true,否则返回false。 数据范围:链表长度 0≤\leq≤ n ≤\leq≤ 10000,链表中任意节点的值满足 |val| ≤\leq≤ 100000。 要求:空间复杂度 O(1),时间复杂度 O(n)。 输…

思科模拟器 | 静态路由和默认路由的配置

静态路由与默认路由一、静态路由1、自定义IP地址2、基本配置与接线3、接口配置与指令描述4、静态路由配置【⭐】5、主机测试连接二、默认路由1、基本命令配置2、测试连接一、静态路由 1、自定义IP地址 以下是我自己分配的主机和个接口的IP地址、子网掩码以及默认网关&#xf…

SSL协议

目录 理论部分 实验部分 环境搭建 web1配置 配置负载均衡 web2配置 lb配置 实验目标:模拟颁发证书实现https访问,搭建负载均衡。 理论部分 1. SSL:安全套接字层 它是由Netscape公司于1994年创建,它旨在通过Web创建安全的Internet通信。 它是…

什么是股票委托接口?

什么是股票委托接口?相信大家对这些做股票量化交易接口系统都有一定是了解,其实股票委托接口是一些预先定义的接口,如函数与HTTP接口,以及api接口等这些,或指软件系统不同组成部分衔接的协议,用来提供应用程…

举个栗子~Tableau 技巧(246):将标签置于条形图的末端

用条形图呈现数据时,为增加直观性,通常会用标签显示条形对应的数值。Tableau 默认将标签呈现在条形最右侧外部,我们通过设置格式,可以将其挪动到条形里的中间或最左边。 有数据粉反馈:有没有办法,将数值标…

【C语言经典面试题】memcpy函数有没有更高效的拷贝实现方法?

【C语言经典面试题】memcpy函数有没有更高效的拷贝实现方法? 我相信大部分初中级C程序员在面试的过程中,可能都被问过关于memcpy函数的问题,甚至需要手撕memcpy。本文从另一个角度带你领悟一下memcpy的面试题,你可以看看是否能接得…

4D毫米波雷达开启感知新大陆,这家企业给出这样的答案

当前,自动驾驶行业的内卷已是不争的事实。无论是以叠加传感器为手段的“堆料”,还是以测试里程论性能高低的“堆数据”,最终都指向了同一个问题:感知瓶颈。随着自动驾驶行业越来越趋于理性,技术的研发也将回归最基础的…

【数据可视化】第五章—— 基于PyEcharts的数据可视化

文章目录1. pyecharts数据可视化介绍2.pyecharts安装与使用3.全局配置项和系列配置项3.1 全局配置项3.1.1 基本元素配置项3.1.2 坐标轴配置项3.1.3 原生图形配置项3.2 系列配置项3.2.1 样式类配置项3.2.2 标记类型配置项3.2.3 其它类配置项4.…

【性能优化】pc端与移动端图片优化篇

目录 优化方向: 优化方式 1.域名收敛 2.使用CDN节点 3.设置缓存 4.图片懒加载 5.用户图片上传限制 6.使用OSS服务压缩 7.使用OSS缩放 8.合成雪碧图 9.使用svg图片 在前端项目中图片的性能优化也有不少可以提升的方向 优化方向: 减少请求数量…