疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊

概述

近期，綠盟科技伏影實驗室捕獲了一起針對多吉幣（Dogecoin，狗狗幣）關注者的釣魚攻擊事件。駭客使用精心設計的加密釣魚文件，在誘騙受害者啟用編輯功能解密文字內容的同時，利用惡意vba指令碼執行惡意程式，最終透過投放cobaltstrike beacon控制受害者主機，實現竊取受害者敏感資料的目的。透過分析，伏影實驗室確認本次事件的攻擊源來自土耳其某學術機構，背後的攻擊者可能是有長期活動歷史和較高技術水平的攻擊組織（APT）。

事件分析

多吉幣（Dogecoin）憑藉其近期的話題度和在價格上的表現，成為了虛擬貨幣市場上的流量明星，吸引了大量投資者的關注。與此同時，從事資訊竊取的駭客也沒有放過這些新入場的玩家們。

本次事件中，攻擊者投放的誘餌文件名為dogecoin_survey.doc，文件最終顯示的內容也是關於多吉幣歷史的文章，可以看出其攻擊目標非常明確。經過多級釋放後，駭客在受害者主機上植入了cobaltstrike beacon程式。這種全功能的RAT木馬可以輕易地竊取受害者主機上的各種密碼、鍵盤輸入、螢幕內容等資訊，從而實施與加密貨幣有關的盜竊行動。

該起攻擊事件中，駭客使用的攻擊手法，包括誘餌內容解密方式、中間載荷形式、解密演算法、前置通訊邏輯等，與常見釣魚郵件攻擊者的手法都有很大差異，並且顯示了一定的設計水平。此外，駭客控制的CnC位置較為特殊，展現了其對社會機構設施的滲透和控制能力。這一現象說明近期加密貨幣的熱潮可能吸引了一些“跨專業”的駭客進場，並使用自主設計的攻擊流程進行資訊竊取活動。

攻擊者關聯

本次攻擊事件中，四階段下載者木馬LetMeOut.exe和最終階段遠控木馬cobaltstrike beacon的通訊CnC地址均為http://jc.neu.edu.tr/。經查詢，該域名歸屬於土耳其私立大學近東大學（yakin dogu üniversitesi），這說明該機構的部分網路設施已遭到濫用，或已被駭客控制。

目前，攻擊者展現的對學術機構進行攻擊和惡意利用的相關行為，證明其對該次攻擊的準備十分充足，這是長期的高威脅攻擊組織（APT）的特徵之一。伏影實驗室正在採集和確認該攻擊者與已知攻擊組織的聯絡。