微软公司近期考察了一次进攻，在这个进攻中，被关注为 DEV-0139 的威胁参与者根据添加加密货币交易平台的Telegram群来获取目标受众。

10月19日，威胁参与者假冒加密投资管理公司的代表邀约目标受众到另一个Telegram群，在那里威胁参与者需要对加密货币交易平台费用构造给予意见反馈。

在取得信赖后，威胁参与者向他推送了名叫“OKX Binance & Huobi VIP fee comparison.xls”的故意 Excel 工作表格。为了保证报表的真实度，表格里也包含了加密货币交易所企业VIP花费构造间的数据较为。

微软公司给予攻击简述

这一故意Excel文件会运行下列一系列主题活动：

1.Excel文件里的故意宏乱用VBA的消费者文本框来搞混编码并查找一些数据信息。

2.故意宏会摆放置入表格中的另一个Excel工作表格，并且以看不到方式实行它。以上Excel报表以base64编号，并且以名字VSDB688.tmp放进C:\ProgramData\Microsoft Media\

3.文档VSDB688.tmp下载一个含有三个可执行程序的 PNG 文档：一个名为logagent.exe的合理合法 Windows 文档、一个故意版本 DLL wsock32.dll和一个 XOR 编号侧门。

4.文档logagent.exe用以载入故意wsock32.dll，它当做合理合法wsock32.dll的DLL代理商。故意DLL文件用以载入和破译XOR编号的侧门，使威胁参与者能够远程登录受传染的系统软件。

恶意Excel工作表格

一旦受害人打开文档并启用宏，文档中置入的第二个工作表格将免费下载并分析PNG文档以获取故意DLL、异或运算编号的侧门及其用以侧载 DLL 的Windows可执行程序。

该DLL将破译并载入侧门，为网络攻击给予对受害人全面的远程控制访问限制。

微软公司解释道：“Excel文件主工作表格受密码设置，以诱发目标受众启用宏。”

做为本次活动的一部分，DEV-0139 还提供第二个有效负载，即 CryptoDashboardV2 应用软件的 MSI 包，这说明她们还提供了应用同样技术性消息推送自定有效负载的许多进攻。

MSI 文档安装关键点

尽管微软公司没有把此次进攻归功于特定团队，而是直接把与 DEV-0139 威胁主题活动集群式结合起来，但威胁情报信息企业 Volexity 周末发布自身有关此次攻击调查报告，称此事情与与北朝鲜Lazarus威胁机构相关。

据Volexity称，北朝鲜网络黑客应用“加密贷币交易手续费较为excel表”来删掉Lazarus以前曾用以加密贷币挟持和数字货币偷盗行为。

Volexity 还注意到 Lazarus 应用 HaasOnline 全自动加密货币交易平台网站复制来公布木马病毒变的 BloxHolder 应用软件，该程序将布署捆缚在 QTBitcoinTrader 应用软件里的 AppleJeus 恶意程序。

Lazarus组织是一个北朝鲜的黑客联盟，从2009年逐渐，早已在网络上丰富了十多年。

它特务以进攻全世界著名总体目标而著称，包含金融机构、新闻媒体组织与政府部门。

来源：Bowen