数字加密货币交易软件APT攻击简报
Contents
数字加密货币交易软件APT攻击简报
2018-08-15
APT-C-26(Lazarus 音译"拉撒路")是从2009年以来至今一直处于活跃的APT组织,据国外安全公司调查显示,该组织最早的攻击可能和2007年针对韩国政府网站大规模DDOS攻击的“Operation Flame”行动相关,同时可能是2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件和2017年席卷全球的“Wannacry”勒索病毒等著名攻击事件的幕后组织。2017年以来,该组织将攻击目标不断扩大,日趋以经济利益为目的,从针对全球的传统金融机构银行系统进行攻击,开始转向于针对全球加密货币组织和相关机构以及个人进行攻击。
近日,360核心安全高级威胁应对团队截获了一起APT-C-26(Lazarus 音译"拉撒路")组织针对数字加密货币机构以及相关人员APT攻击活动,疑似该组织模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件,在软件中植入了后门代码,针对使用该软件的用户进行定向攻击。该软件分为windows和mac两个版本,支持跨平台攻击,软件在启动时会收集用户信息,然后从云端下发恶意代码执行。
该软件的官方网站
软件针对数字加密货币机构以及相关人员的推广邮件
被模仿的原版Qt Bitcoin Trader交易软件只有一个主程序
该款交易软件则增加了一个升级模块updater,程序启动时执行这个后门模块
后门会收集本地信息,包括进程列表、计算机名称、系统信息,并且将收集到的信息加密后发往服务器。
进程信息收集
注册表信息收集:
计算机名称:
然后执行服务器返回的恶意代码.
目前360安全卫士已经率先对该恶意程序进行查杀,并对软件网站进行拦截防止该恶意程序的进一步传播。
2018-08-15
APT-C-26(Lazarus 音译"拉撒路")是从2009年以来至今一直处于活跃的APT组织,据国外安全公司调查显示,该组织最早的攻击可能和2007年针对韩国政府网站大规模DDOS攻击的“Operation Flame”行动相关,同时可能是2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件和2017年席卷全球的“Wannacry”勒索病毒等著名攻击事件的幕后组织。2017年以来,该组织将攻击目标不断扩大,日趋以经济利益为目的,从针对全球的传统金融机构银行系统进行攻击,开始转向于针对全球加密货币组织和相关机构以及个人进行攻击。
近日,360核心安全高级威胁应对团队截获了一起APT-C-26(Lazarus 音译"拉撒路")组织针对数字加密货币机构以及相关人员APT攻击活动,疑似该组织模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件,在软件中植入了后门代码,针对使用该软件的用户进行定向攻击。该软件分为windows和mac两个版本,支持跨平台攻击,软件在启动时会收集用户信息,然后从云端下发恶意代码执行。
该软件的官方网站
软件针对数字加密货币机构以及相关人员的推广邮件
被模仿的原版Qt Bitcoin Trader交易软件只有一个主程序
该款交易软件则增加了一个升级模块updater,程序启动时执行这个后门模块
后门会收集本地信息,包括进程列表、计算机名称、系统信息,并且将收集到的信息加密后发往服务器。
进程信息收集
注册表信息收集:
计算机名称:
然后执行服务器返回的恶意代码.
目前360安全卫士已经率先对该恶意程序进行查杀,并对软件网站进行拦截防止该恶意程序的进一步传播。