概述
近期,绿盟科技伏影实验室捕获了一起针对多吉币(Dogecoin,狗狗币)关注者的钓鱼攻击事件。黑客使用精心设计的加密钓鱼文档,在诱骗受害者启用编辑功能解密文本内容的同时,利用恶意vba脚本执行恶意程序,最终通过投放cobaltstrike beacon控制受害者主机,实现窃取受害者敏感数据的目的。通过分析,伏影实验室确认本次事件的攻击源来自土耳其某学术机构,背后的攻击者可能是有长期活动历史和较高技术水平的攻击组织(APT)。
事件分析
多吉币(Dogecoin)凭借其近期的话题度和在价格上的表现,成为了虚拟货币市场上的流量明星,吸引了大量投资者的关注。与此同时,从事信息窃取的黑客也没有放过这些新入场的玩家们。
本次事件中,攻击者投放的诱饵文档名为dogecoin_survey.doc,文档最终显示的内容也是关于多吉币历史的文章,可以看出其攻击目标非常明确。经过多级释放后,黑客在受害者主机上植入了cobaltstrike beacon程序。这种全功能的RAT木马可以轻易地窃取受害者主机上的各种密码、键盘输入、屏幕内容等信息,从而实施与加密货币有关的盗窃行动。
该起攻击事件中,黑客使用的攻击手法,包括诱饵内容解密方式、中间载荷形式、解密算法、前置通信逻辑等,与常见钓鱼邮件攻击者的手法都有很大差异,并且显示了一定的设计水平。此外,黑客控制的CnC位置较为特殊,展现了其对社会机构设施的渗透和控制能力。这一现象说明近期加密货币的热潮可能吸引了一些“跨专业”的黑客进场,并使用自主设计的攻击流程进行信息窃取活动。
攻击者关联
本次攻击事件中,四阶段下载者木马LetMeOut.exe和最终阶段远控木马cobaltstrike beacon的通信CnC地址均为http://jc.neu.edu.tr/。经查询,该域名归属于土耳其私立大学近东大学(yakin dogu üniversitesi),这说明该机构的部分网络设施已遭到滥用,或已被黑客控制。
目前,攻击者展现的对学术机构进行攻击和恶意利用的相关行为,证明其对该次攻击的准备十分充足,这是长期的高威胁攻击组织(APT)的特征之一。伏影实验室正在采集和确认该攻击者与已知攻击组织的联系。