CryptoCore黑客針對密碼管理器帳戶

CryptoCore Targets Password Manager Accounts

昨天,網絡安全公司ClearSky發布有關名為CryptoCore的黑客組織的報告 。該團伙也被稱為危險密碼和Leery Turtle,據稱位於東歐,其行動也受到其他安全機構的追捧。但是,ClearSky的專家認為,CryptoCore的操作比最初估計的要大得多。他們認為,自2018年5月以來,船員們已經設法騙取了多達2億美元的非法利潤。昨天的報告闡明瞭如何做到這一點。

偵察

CryptoCore的受害者幾乎完全是加密貨幣交易所和與其合作的公司。在進行實際攻擊之前,黑客要經歷一個漫長的偵察過程,其中包括確定他們將要瞄準的高級員工,盡可能多地收集有關他們的情報,並在某些情況下破壞其個人電子郵件帳戶。

根據ClearSky的說法,對個人電子郵件的攻擊更容易發動,但更重要的是,它們提供了很好的信息來源,可以幫助黑客破壞目標企業的收件箱。實際的攻擊鍊是經過驗證的技術和新的創新手段的結合,如果ClearSky估計的2億美元利潤是正確的,則顯然行之有效。

社會工程

攻擊始於魚叉式電子郵件,其複雜程度各不相同。在某些情況下,這些消息看起來很可疑,而在另一些情況下,除非出現奇數錯誤的逗號,否則它們在語法和社會工程學方面都幾乎是完美的。

在大多數攻擊中,加密貨幣交易所的執行人員都被告知,通過單擊鏈接,他們將可以訪問重要的工作相關文檔。 CryptoCore大量使用類似於Google雲端硬盤之類的流行在線平台的域名,並且在某些攻擊中,黑客利用HTML來將惡意URL隱藏在合法鏈接之後。黑客還使用URL縮短服務,不僅是因為它們可以幫助他們逃避檢測,而且還可以使他們了解有多少受害者屬於該計劃。

點擊的目標用戶將下載包含兩個文件的存檔。第一個是受密碼保護的PDF,DOCX或XLSX文件,據認為是電子郵件正文中提到的與工作有關的文檔。被害人被認為可以將解鎖密碼的密碼存儲在存檔文件中的第二個文件“ password.txt”中。

但是,更細心的收件人可能會注意到password.txt文件實際上具有雙擴展名。它的全名是“ password.txt.lnk”,它是實際攻擊開始的地方。

攻擊

LNK文件是Windows的常規快捷方式,其他網絡犯罪團伙也已使用它們。 CryptoCore的LNK文件鏈接到一段惡意VBS代碼,該代碼連接到命令與控制服務器(C&C),並繼續進行攻擊的下一階段。為了確保受害者不是更明智的選擇,腳本將下載並打開一個TXT文件,其中包含看起來像承諾的密碼。

但是,在後台,它將下載有效負載並將其存儲在%temp%文件夾中,並將另一個VBS文件放置在啟動目錄中,以確保每當PC啟動時就啟動惡意軟件。

搶劫

正如我們已經提到的,CryptoCore的攻擊針對加密貨幣交易所的關鍵員工,這意味著普通用戶不太可能受到此特定活動的影響。但是,這並不意味著人們不應該注意它。

ClearSky的專家沒有透露CryptoCore攻擊中使用的具體工具,但他們確實說網絡犯罪分子正在追捕受害者的密碼管理器帳戶。在那兒,黑客找到了他們需要的信息,以將價值數百萬的數字硬幣從交易所的活動錢包中重定向到由他們控制的地址。

侵入的實際機制仍是未知的,也沒有關於特定密碼管理應用程序是否針對的信息。但是,被盜的加密貨幣證明攻擊已經成功,這可能使某些用戶對密碼管理器產生懷疑。這將是完全沒有根據的。

密碼管理器是組織和存儲登錄數據的最佳工具,毫無疑問,這在任何人心中都是如此。不幸的是,用戶方面不良的網絡安全狀況也可能削弱密碼管理器的防禦能力。人們需要記住,他們的主密碼必須是堅固,長且至關重要的(唯一),而且他們必須利用某些密碼管理器提供的其他安全功能,例如兩因素身份驗證。我們可能沒有CryptoCore攻擊的技術細節,但我們確實知道它們都取決於用戶單擊電子郵件中的鏈接,這表明現在是每個人都應該使用以下方式來處理其收件箱中的消息的時候了:健康的懷疑程度。

June 25, 2020

發表評論