微软提醒加密货币行业有针对性的网络攻击

加密货币投资公司是一个正在发展的威胁集群的目标，该集群利用Telegram群组寻找潜在受害者。

微软的安全威胁情报中心（MSTIC）正在追踪该活动DEV-0139，并以Volexity最近的一份报告为基础，该报告将同一系列袭击归咎于朝鲜的Lazarus集团。

该科技巨头表示：“DEV-0139加入了Telegram群组，该群组用于促进VIP客户和加密货币交换平台之间的沟通，并从成员中确定了他们的目标”。

对手随后冒充另一家加密货币投资公司，邀请受害者加入另一个Telegram聊天组，借口是要求对VIP层交换平台使用的交易费用结构进行反馈。

值得指出的是，VIP计划旨在根据过去30天的活动，向高交易量交易者提供独家交易费奖励和折扣。

这一攻击链与Volexity对2022年10月的一场战役的分析非常吻合，其中，威胁参与者从使用MSI安装程序文件转向了显示假定的加密货币币利率的武器化Microsoft Excel文档。

微软称该文件包含可能准确的数据，以增加活动成功的机会，这表明DEV-0139深谙加密货币行业的内部运作。

就带有恶意软件的Excel文件而言，它的任务是执行一个恶意宏，该宏用于悄悄地删除并执行第二个Excel工作表，而该工作表又包含一个宏，用于下载OpenDrive上托管的PNG图像文件。

该图像文件包含三个可执行文件，每个可执行文件用于启动下一阶段的有效负载，最终为后门铺平道路，使威胁行为者能够远程访问受感染的系统。

此外，收费结构电子表格受密码保护，以说服目标启用宏，从而启动恶意操作。对该文件的元数据分析显示，它是由一位名叫Wolf的用户于2022年10月14日创建的。

DEV-0139还与另一种攻击序列相关联，在该序列中，一个名为“CryptoDashboardV2”的假应用程序的MSI包被发送来代替恶意Excel文档，以部署相同的植入物。

后门主要通过从目标系统收集信息并连接到命令和控制（C2）服务器以接收附加命令来实现对主机的远程访问。

“加密货币市场仍然是威胁行为者感兴趣的领域，”微软表示。“通过可信渠道识别目标用户，以增加成功的机会”。

近年来，Telegram不仅在加密货币行业被广泛采用，而且还受到了威胁参与者的支持，他们希望讨论零日漏洞，提供被盗数据，并通过流行的消息平台营销其服务。

“随着用户对论坛提供的匿名性失去信心，非法市场越来越多地转向Telegram，”Positive Technologies在一项对323个公共Telegram频道和用户总数超过100万的群组的新研究中披露。

“独特的网络攻击数量不断增长，网络犯罪服务市场正在扩大，并向普通社交媒体和消息应用程序转移，从而大大降低了网络犯罪分子的进入门槛”。