详细内容或原文请订阅后点击阅览
₿uyer ₿eware:假冒加密货币应用程序充当 AppleJeus 恶意软件的幌子
在过去的几个月里,Volexity 观察到了与其追踪的朝鲜威胁行为者有关的新活动,该威胁行为者被广泛称为 Lazarus Group。这项活动特别涉及一项活动,该活动可能通过恶意 Microsoft Office 文档使用 AppleJeus 恶意软件的变种针对加密货币用户和组织。Volexity 对此次活动的分析发现了一个以加密货币为主题的实时网站,其内容是从另一个合法网站窃取的。对已部署的 AppleJeus 恶意软件的进一步技术分析发现了一种新的 DLL 侧载变种,Volexity 以前从未在野外记录过这种变种。本博客概述了 Lazarus Group 使用的新技术,分析了最近的 AppleJeus 恶意软件变种,分享了该恶意软件其他版本的指标,并概述了此活动与历史活动之间的联系。文章的结尾包括可能成为目标的个人或组织的检测和缓解机会 […]The post ₿uyer ₿eware:假冒加密货币应用程序充当 AppleJeus 恶意软件的幌子首先出现在 Volexity 上。
来源:Volexity _恶意软件₿uyer ₿eware:假冒加密货币应用程序充当 AppleJeus 恶意软件的幌子
2022 年 12 月 1 日
作者:Callum Roxan、Paul Rascagneres、Robert Jan Mora
在过去几个月中,Volexity 观察到与其追踪的朝鲜威胁行为者有关的新活动,该威胁行为者被广泛称为 Lazarus Group。这项活动特别涉及一项活动,该活动可能通过恶意 Microsoft Office 文档使用 AppleJeus 恶意软件的变种针对加密货币用户和组织。Volexity 对此次活动的分析发现了一个实时的加密货币主题网站,其内容是从另一个合法网站窃取的。对已部署的 AppleJeus 恶意软件的进一步技术分析发现了一种新的 DLL 侧载变种,Volexity 之前从未在野外发现过这种变种。
AppleJeus本博客概述了 Lazarus Group 使用的新技术,分析了最近的 AppleJeus 恶意软件变种,分享了该恶意软件其他版本的指标,并概述了此活动与历史活动之间的联系。文章的结尾包括了可能成为此活动目标的个人或组织的检测和缓解机会。与所有 Volexity 博客一样,相关指标可以在 Github 上找到。
Github 上假网站
2022 年 6 月,Lazarus Group 注册了域名 bloxholder[.]com,然后将其配置为托管与自动加密货币交易相关的网站。进一步调查发现,该网站很大程度上是合法网站 HaasOnline (haasonline[.]com) 的克隆。所有“HaasOnline”引用都更改为“BloxHolder”,并且在整个过程中进行了一些其他更新。两个网站的比较如下所示(图 1)。
bloxholder[.]com图 1. 合法网站(左)和克隆网站(右)
图 1. 合法网站(左)和克隆网站(右) QTBitcoinTrader 可在 GitHub 上获得 来自 CISA 的此报告