微軟最近調查了一次攻擊，在該攻擊中，被追蹤為 DEV-0139 的威脅參與者通過加入加密貨幣交易平臺的Telegram群來尋找目標用戶。

10月19日，威脅參與者冒充加密資產管理公司的代表邀請目標用戶到另一個Telegram群，在那里威脅參與者要求對加密貨幣交易平臺的費用結構提供反饋。

在獲得信任后，威脅參與者向他們發送了名為“OKX Binance & Huobi VIP fee comparison.xls”的惡意 Excel 工作表。為了提高表格的可信度，表格里還包含了加密貨幣交易所公司VIP費用結構之間的數據比較。

微軟提供的攻擊概述

這個惡意Excel文件會啟動以下一系列活動：

1.Excel文件中的惡意宏濫用VBA的用戶窗體來混淆代碼并檢索一些數據。

2.惡意宏會放置嵌入表單中的另一個Excel工作表，并以不可見模式執行它。上述Excel表格以base64編碼，并以名稱VSDB688.tmp放入C:\ProgramData\Microsoft Media\

3.文件VSDB688.tmp下載一個包含三個可執行文件的 PNG 文件：一個名為logagent.exe的合法 Windows 文件、一個惡意版本的 DLL wsock32.dll和一個 XOR 編碼后門。

4.文件logagent.exe用于加載惡意wsock32.dll，它充當合法wsock32.dll的DLL代理。惡意DLL文件用于加載和解密XOR編碼的后門，使威脅參與者可以遠程訪問受感染的系統。

惡意的Excel工作表

一旦受害者打開文檔并啟用宏，文件中嵌入的第二個工作表將下載并解析PNG文件以提取惡意DLL、異或編碼的后門以及用于側載 DLL 的Windows可執行文件。

該DLL將解密并加載后門，為攻擊者提供對受害者系統的遠程訪問權限。

微軟解釋說：“Excel文件的主工作表受密碼保護，以誘導目標用戶啟用宏。”

作為此次活動的一部分，DEV-0139 還提供了第二個有效負載，即 CryptoDashboardV2 應用程序的 MSI 包，這表明他們還支持使用相同技術推送自定義有效負載的其他攻擊。

MSI 文件的安裝細節

雖然微軟沒有將這次攻擊歸因于特定的團體，而是選擇將其與 DEV-0139 威脅活動集群聯系起來，但威脅情報公司 Volexity 在周末發布了自己關于這次攻擊的調查結果，稱此事件與與朝鮮Lazarus威脅組織有關。

據Volexity稱，朝鮮黑客使用“加密貨幣交易費用比較電子表格”來刪除Lazarus之前曾用于加密貨幣劫持和數字資產盜竊行動。

Volexity 還觀察到 Lazarus 使用 HaasOnline 自動加密貨幣交易平臺的網站克隆來發布木馬化的 BloxHolder 應用程序，該應用程序將部署捆綁在 QTBitcoinTrader 應用程序中的 AppleJeus 惡意軟件。

Lazarus組織是一個朝鮮的黑客組織，從2009年開始，已經在互聯網上活躍了十多年。

它的特工以攻擊全球知名目標而聞名，包括銀行、媒體組織和政府機構。

---

來源：bleepingcomputer

編譯：Bowen@iNFTnews.com

聲明：web3中文編譯作品，內容僅代表作者立場，且不構成投資建議，請謹慎對待，如文章/素材有侵權，請聯系官方客服處理。

總結

以上是生活随笔為你收集整理的Web3中文｜微软：黑客通过Telegram侵害加密公司的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。