β

数字加密货币交易软件APT攻击简报

奇虎360技术博客 27 阅读

APT-C-26(Lazarus 音译”拉撒路”)是从2009年以来至今一直处于活跃的APT组织,据国外安全公司调查显示,该组织最早的攻击可能和2007年针对韩国政府网站大规模DDOS攻击的“Operation Flame”行动相关,同时可能是2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件和2017年席卷全球的“Wannacry”勒索病毒等著名攻击事件的幕后组织。2017年以来,该组织将攻击目标不断扩大,日趋以经济利益为目的,从针对全球的传统金融机构银行系统进行攻击,开始转向于针对全球加密货币组织和相关机构以及个人进行攻击。

近日,360核心安全高级威胁应对团队截获了一起APT-C-26(Lazarus 音译”拉撒路”)组织针对数字加密货币机构以及相关人员APT攻击活动,疑似该组织模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件,在软件中植入了后门代码,针对使用该软件的用户进行定向攻击。该软件分为windows和mac两个版本,支持跨平台攻击,软件在启动时会收集用户信息,然后从云端下发恶意代码执行。

该软件的官方网站

软件针对数字加密货币机构以及相关人员的推广邮件

被模仿的原版Qt Bitcoin Trader交易软件只有一个主程序

该款交易软件则增加了一个升级模块updater,程序启动时执行这个后门模块

后门会收集本地信息,包括进程列表、计算机名称、系统信息,并且将收集到的信息加密后发往服务器。

进程信息收集:

注册表信息收集:

计算机名称:

然后执行服务器返回的恶意代码.

目前360安全卫士已经率先对该恶意程序进行查杀,并对软件网站进行拦截防止该恶意程序的进一步传播。

IOC

Md5

aeee54a81032a6321a39566f96c822f5

b054a7382adf6b774b15f52d971f3799

C&C

https://www.celasllc.com/checkupdate.php

作者:奇虎360技术博客
分享奇虎360公司的技术,与安全的互联网共同成长。
原文地址:数字加密货币交易软件APT攻击简报, 感谢原作者分享。

发表评论