朝鲜黑客传播伪装成加密货币应用程序的AppleJeus恶意软件

据Volexity的最新发现，Lazarus Group的威胁扮演者利用假加密货币应用程序作为诱饵，交付一个以前未记录的AppleJeus恶意软件版本。

研究人员Callum Roxan、Paul Rascagneres和Robert Jan Mora表示：“这一活动特别涉及一场可能通过恶意Microsoft Office文档的方式，以AppleJeus恶意软件变体的加密货币用户和组织为目标的活动”。

众所周知，朝鲜政府采取三管齐下的方式，利用恶意网络活动，精心策划收集情报、实施攻击，并为受制裁国家创造非法收入。这些威胁以Lazarus Group（又名隐藏眼镜蛇或锌）的名义被集体追踪。

根据美国情报机构发布的《2021年度威胁评估》，“朝鲜对世界各地的金融机构和加密货币交易所进行了网络盗窃，可能盗取了数亿美元，可能是为了资助政府的优先事项，例如其核项目和导弹项目”。

今年4月早些时候，网络安全和基础设施安全局（CISA）警告称，一个名为TraderTraitor的活动集群通过Windows和macOS的木马加密应用程序瞄准加密货币交易所和交易公司。

虽然TraderTraitor攻击最终导致了Manuscrypt远程访问木马的部署，但新活动利用了一个名为BloxHolder的加密交易网站，该网站是合法HaasOnline平台的山寨，通过安装程序文件提供AppleJeus。

2018年卡巴斯基首次记录的AppleJeus旨在获取有关受感染系统的信息（即MAC地址、计算机名称和操作系统版本），并从命令和控制（C2）服务器下载外壳代码。

据称，攻击链在2022年10月发生了轻微的变化，对手从MSI安装程序文件转向了一个陷阱式的Microsoft Excel文档，该文档使用宏从OpenDrive下载远程托管的有效载荷，即PNG图像。

Volexy表示，切换背后的想法可能会减少安全产品的静态检测，并补充说，它无法从OpenDrive链接获取图像文件（“Background.png”），但注意到它嵌入了三个文件，包括一个编码的有效载荷，该有效载荷随后被提取并在受损主机上启动。

研究人员总结道：“Lazarus Group继续致力于锁定加密货币用户，尽管他们的活动和策略一直受到关注”。