“拉撒路组织”对数字加密货币交易软件APT攻击简报

APT-C-26(Lazarus 音译"拉撒路")是从2009年以来至今一直处于活跃的APT组织,据国外安全公司调查显示,该组织最早的攻击可能和2007年针对韩国政府网站大规模DDOS攻击的"Operation Flame"行动相关,同时可能是2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件和2017年席卷全球的"Wannacry"勒索病毒等著名攻击事件的幕后组织。2017年以来,该组织将攻击目标不断扩大,日趋以经济利益为目的,从针对全球的传统金融机构银行系统进行攻击,开始转向于针对全球加密货币组织和相关机构以及个人进行攻击。


近日,360核心安全高级威胁应对团队截获了一起APT-C-26(Lazarus 音译"拉撒路")组织针对数字加密货币机构以及相关人员APT攻击活动,疑似该组织模仿开源交易软件"Qt Bitcoin Trader"开发了一款名为"Celas Trade Pro"的数字加密货币交易软件,在软件中植入了后门代码,针对使用该软件的用户进行定向攻击。该软件分为windows和mac两个版本,支持跨平台攻击,软件在启动时会收集用户信息,然后从云端下发恶意代码执行。


该软件的官方网站


软件针对数字加密货币机构以及相关人员的推广邮件


被模仿的原版Qt Bitcoin Trader交易软件只有一个主程序


该款交易软件则增加了一个升级模块updater,程序启动时执行这个后门模块


后门会收集本地信息,包括进程列表、计算机名称、系统信息,并且将收集到的信息加密后发往服务器。


进程信息收集


注册表信息收集:


计算机名称:


然后执行服务器返回的恶意代码.


目前360安全卫士已经率先对该恶意程序进行查杀,并对软件网站进行拦截防止该恶意程序的进一步传播。



当你发现电脑出现卡慢,或者其他一些异常现象时要尽快用360安全卫士进行查杀哦~


扫一扫关注微信公众号
联系方式
400 电话: 400-1188-991          手 机:151 9725 2023
邮箱:3134271314@qq.com
运营中心:湘潭市岳塘区福星国际金融中心C座14楼
湖南振企信息技术有限公司
地址:株洲市天元区泰山路留学生创业园A1栋2楼

湖南振企传媒有限公司
地址:长沙市天心区劳动西路嘉盛国际广场23A