2019年与数字货币相关的安全事件达数十起,涵盖交易所攻击、数字货币洗钱、挖矿勒索、币丢失被盗、数字货币诈骗等,总损失高达数十亿美元。
2020年数字货币安全事件不断发生,并呈现愈演愈烈的趋势。
近日,安恒威胁情报中心捕获到一起以“货币上币申请”为主题的攻击活动,且目标似乎与某数字货币交易机构存在一定联系。
诱饵伪装定点攻击
此次攻击中投放的为“修改版上币协议申请表第二版.rar”,压缩包内含有一个名为“上币协议申请表.xls”的诱饵文档,诱饵伪装的内容为Move上币申请表。
该文档包含恶意宏代码,将访问
•[.]106:8032/app/logo.gif
下载恶意文件到远程地址
•C:\\phone\phone.exe
值得注意的是,该文件附带有效的数字证书,签名者信息为“Disc Soft Ltd”。
该签名意在冒充国外光盘公司(著名虚拟光驱软件Tools的开发商)。
而且从签名的有效期来看,该证是不久前取得的。
样本会经过多阶段解密,最终解密后的即为RAT,可在官网获取并公开出售。
最后它连接回 .[.]org。
被木马病毒入侵的网站
我们查看样本下载地址
• [.]106:8032/app/logo.gif
该IP为中国-广东省-深圳市(阿里云),有域名历史解析记录[.]com
仍然可以访问,并且仍然指向该IP地址。该域名曾经或现在属于深圳的一家公司。
看起来它已经很久没有维护了,而且似乎存在可以被攻击者利用的漏洞。
链接回域名
我们来看看反向链接域名
.[.]org 解析为 23.106.123[.]236,
该IP上还解析到了另外一个域名.[.]net,该域名同样伪装性极强,且与火币有关。
从文档内容、回调的域名等可以看出,此波攻击目标与某虚拟货币交易网站具有一定的关联性。
概括
本次攻击活动的样本均具有一定的杀毒效果,从文档到恶意程序,仅有少数杀毒软件能够检测出来,另外恶意可执行程序使用了签名,以及其他攻击武器和装备配置,说明攻击者做了一定的投入。
在利益的驱动下,数字货币行业也受到一些黑客黑产组织的青睐,针对数字货币公司的攻击事件屡见不鲜,数字货币公司切不可掉以轻心。
国际奥委会
米特阿特
威胁情报中心 - 狩猎实验室
2020 年 7 月
团队招募
招募二进制安全研究员
职位描述:
1、基于日常可疑文件分析,进行数据挖掘,发现APT攻击事件;
2、分析客户上报的可疑文件,撰写分析报告,提供解决方案等;
3.负责热点安全事件、最新漏洞分析,撰写分析报告或POC代码等。
4. 研究新的检测方法,维护和改进APT检测等产品策略
5.协助建设内部威胁分析平台等。
工作要求:
1、熟悉Linux上的调试方法,熟练使用常见的逆向分析工具(IDA、OD等);
2、熟悉C/C++、汇编语言、至少一种脚本语言,能快速完成POC代码编写;
3、熟悉病毒、木马的传播原理、常用技术、以及常见的加密算法;
4、熟悉安全漏洞原理,具有独立分析文档漏洞的能力;
5、至少1年逆向分析和安全研究经验,能力优先,不受年限限制;
6、具备大数据挖掘能力,对数据极其敏感,能够快速对数据进行关联分析;
7、思路清晰,善于主动思考,具有创新精神,能独立分析、解决问题,有良好的沟通能力和团队合作精神;
8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、防APT攻击、机器学习、IOT、ICS等经验者优先考虑。
