CryptoCore黑客针对密码管理器帐户
昨天,网络安全公司ClearSky发布了有关名为CryptoCore的黑客组织的报告 。该团伙也被称为危险密码和Leery Turtle,据称位于东欧,其行动也受到其他安全机构的追捧。但是,ClearSky的专家认为,CryptoCore的操作比最初估计的要大得多。他们认为,自2018年5月以来,船员们已经设法筹集了多达2亿美元的非法利润。昨天的报告阐明了如何做到这一点。
Table of Contents
侦察
CryptoCore的受害者几乎完全是加密货币交易所和与其合作的公司。在进行实际攻击之前,黑客要经历一个漫长的侦察过程,其中包括确定他们将要瞄准的高级员工,尽可能多地收集有关他们的情报,并在某些情况下破坏其个人电子邮件帐户。
根据ClearSky的说法,对个人电子邮件的攻击更容易发动,但更重要的是,它们提供了很好的信息来源,可以帮助黑客破坏目标企业的收件箱。实际的攻击链是经过验证的技术和新的创新手段的结合,如果ClearSky估计的2亿美元利润是正确的,则显然行之有效。
社会工程
攻击始于鱼叉式电子邮件,其复杂程度各不相同。在某些情况下,这些消息看起来比较可疑,而在另一些情况下,除非出现奇数错误的逗号,否则它们在语法和社会工程学方面都几乎是完美的。
在大多数攻击中,加密货币交易所的执行人员都被告知,通过单击链接,他们将可以访问重要的工作相关文档。 CryptoCore大量使用类似于Google云端硬盘之类的流行在线平台的域名,并且在某些攻击中,黑客利用HTML来将恶意URL隐藏在合法链接之后。黑客还使用URL缩短服务,不仅是因为它们可以帮助他们逃避检测,而且还可以使他们了解有多少受害者属于该计划。
点击的目标用户将下载包含两个文件的存档。第一个是受密码保护的PDF,DOCX或XLSX文件,据认为是电子邮件正文中提到的与工作有关的文档。被害人被认为可以将解锁密码的密码存储在存档文件中的第二个文件“ password.txt”中。
但是,更细心的收件人可能会注意到password.txt文件实际上具有双扩展名。它的全名是“ password.txt.lnk”,它是实际攻击开始的地方。
攻击
LNK文件是Windows的常规快捷方式,其他网络犯罪团伙也已使用它们。 CryptoCore的LNK文件链接到一段恶意VBS代码,该代码连接到命令与控制服务器(C&C),并继续进行攻击的下一阶段。为了确保受害者不是更明智的选择,脚本将下载并打开一个TXT文件,其中包含看起来像承诺的密码。
但是,在后台,它将下载有效负载并将其存储在%temp%文件夹中,并将另一个VBS文件放置在启动目录中,以确保每当PC启动时就启动恶意软件。
抢劫
正如我们已经提到的,CryptoCore的攻击针对加密货币交易所的关键员工,这意味着普通用户不太可能受到此特定活动的影响。但是,这并不意味着人们不应该注意它。
ClearSky的专家并未透露CryptoCore攻击中使用的具体工具,但他们确实表示,网络犯罪分子正在追捕受害者的密码管理器帐户。在这里,黑客找到了他们需要的信息,以将价值数百万的数字硬币从交易所的活动钱包中重定向到由他们控制的地址。
侵入的实际机制仍是未知的,也没有关于特定密码管理应用程序是否针对的信息。但是,被盗的加密货币证明攻击已经成功,这可能会引起对某些用户的密码管理器的怀疑。这将是完全没有根据的。
密码管理器是组织和存储登录数据的最佳工具,毫无疑问,这在任何人看来都是如此。不幸的是,用户方面不良的网络安全状况也可能削弱密码管理器的防御能力。人们需要记住,他们的主密码必须是坚固,长且至关重要的(唯一),并且必须利用某些密码管理器提供的附加安全功能,例如两因素身份验证。我们可能没有CryptoCore攻击的技术细节,但我们确实知道它们都取决于用户单击电子邮件中的链接,这表明现在是每个人都应该使用以下方式来处理其收件箱中的消息的时候了:健康的怀疑程度。
