国内某知名数字货币交易机构相关人员被定向攻击
在2019年内,与数字货币相关安全事件达数十余起,覆盖交易所攻击、数字货币洗钱、挖矿勒索、丢币盗币、数字货币欺诈等,统计总损失达数十亿美元之巨。
2020年数字货币安全事件仍在持续发生,并有愈演愈烈的趋势。
近期安恒威胁情报中心捕获到一起以“上币申请”为主题的攻击活动,针对目标似与某数字货币交易机构有一定的关联。
诱饵伪装定向攻击
此次攻击活动投递载荷为“上币协议申请书修改第二版.rar”,压缩包内包含了名为“上币协议申请书.xls”的诱饵文档,诱饵伪装内容为move上币申请表格。
文档包含恶意宏代码,执行后会访问
• http://47.106.112[.]106:8032/app/logo.gif
远程地址下载恶意文件到
• C:\ProgramData\Microsoft phone\phone.exe
值得注意的是,该文件带有有效的数字证书,签名人信息为“Disc Soft Ltd”。
该签名意图冒充国外disc公司(著名虚拟光驱软件DAEMON Tools 的开发公司)。
并且从签名有效期看该证书刚获取不久。
样本会进行多阶段解密,最终解密出的载荷为Warzone RAT,该远控存在官网且公开售卖。
最终回连到update.office365excel[.]org。
被黑站点挂马
我们看到样本下载地址
• http://47.106.112[.]106:8032/app/logo.gif
这个IP为中国-广东省-深圳市(阿里云),并且有域名历史解析记录cbecitt[.]com
并且目前仍能访问,并仍指向该IP。该域名曾或目前属于深圳一家公司。
似为长期未进行维护,并且似存在漏洞被攻击者利用。
回连域名
再来看看回连域名
update.office365excel[.]org 解析到23.106.123[.]236,
在该IP上还解析了另一域名update.huobibtc[.]net,也极具伪装性,并且和huobi相关。
这波攻击从文档内容、回连域名等可以看出针对目标和某虚拟货币交易的网站有一定的关联性。
小结
此次攻击活动样本具有一定的免杀效果,从文档到恶意程序仅有为数不多的杀软能够检测。并且恶意可执行程序使用了签名,以及其它攻击武器装备的配置,说明攻击者做了一定投入。
利益驱使之下数字货币行业也受到一些黑客黑产组织的青睐,不乏针对数字货币企业相关的攻击事件。数字货币企业仍不可掉以轻心。
IOC
MITRE ATT&CK Matrix
团队招聘
招聘二进制安全研究员
职位描述:
1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;
2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;
3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等
4、研究新的检测方法,维护和完善APT检测等产品策略
5、协助内部威胁分析平台建设等
职位要求:
1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);
2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;
4、熟悉安全漏洞原理,有独立文档漏洞分析能力;
5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;
6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;
7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;
8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。
联系方式:
xiaoyi.tu@dbappsecurity.com.cn
往期精选
围观
摘取工业安全之冠,安恒信息斩获首个全球工业互联网大奖“湛卢奖”
热文
【世界人工智能大会】安恒信息首席科学家刘博:威胁可感知、安全可运营
热文