疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊

綠盟科技發表於2021-04-27

疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊概述

近期,綠盟科技伏影實驗室捕獲了一起針對多吉幣(Dogecoin,狗狗幣)關注者的釣魚攻擊事件。駭客使用精心設計的加密釣魚文件,在誘騙受害者啟用編輯功能解密文字內容的同時,利用惡意vba指令碼執行惡意程式,最終透過投放cobaltstrike beacon控制受害者主機,實現竊取受害者敏感資料的目的。透過分析,伏影實驗室確認本次事件的攻擊源來自土耳其某學術機構,背後的攻擊者可能是有長期活動歷史和較高技術水平的攻擊組織(APT)。

事件分析

多吉幣(Dogecoin)憑藉其近期的話題度和在價格上的表現,成為了虛擬貨幣市場上的流量明星,吸引了大量投資者的關注。與此同時,從事資訊竊取的駭客也沒有放過這些新入場的玩家們。

本次事件中,攻擊者投放的誘餌文件名為dogecoin_survey.doc,文件最終顯示的內容也是關於多吉幣歷史的文章,可以看出其攻擊目標非常明確。經過多級釋放後,駭客在受害者主機上植入了cobaltstrike beacon程式。這種全功能的RAT木馬可以輕易地竊取受害者主機上的各種密碼、鍵盤輸入、螢幕內容等資訊,從而實施與加密貨幣有關的盜竊行動。

該起攻擊事件中,駭客使用的攻擊手法,包括誘餌內容解密方式、中間載荷形式、解密演算法、前置通訊邏輯等,與常見釣魚郵件攻擊者的手法都有很大差異,並且顯示了一定的設計水平。此外,駭客控制的CnC位置較為特殊,展現了其對社會機構設施的滲透和控制能力。這一現象說明近期加密貨幣的熱潮可能吸引了一些“跨專業”的駭客進場,並使用自主設計的攻擊流程進行資訊竊取活動。

攻擊者關聯

本次攻擊事件中,四階段下載者木馬LetMeOut.exe和最終階段遠控木馬cobaltstrike beacon的通訊CnC地址均為http://jc.neu.edu.tr/。經查詢,該域名歸屬於土耳其私立大學近東大學(yakin dogu üniversitesi),這說明該機構的部分網路設施已遭到濫用,或已被駭客控制。

目前,攻擊者展現的對學術機構進行攻擊和惡意利用的相關行為,證明其對該次攻擊的準備十分充足,這是長期的高威脅攻擊組織(APT)的特徵之一。伏影實驗室正在採集和確認該攻擊者與已知攻擊組織的聯絡。


相關文章