APT-C-26(Lazarus 音譯"拉撒路")是從2009年以來至今一直處於活躍的APT組織,據國外安全公司調查顯示,該組織最早的攻擊可能和2007年針對韓國政府網站大規模DDOS攻擊的"Operation Flame"行動相關,同時可能是2014 年索尼影業遭黑客攻擊事件,2016 年孟加拉國銀行數據洩露事件和2017年席捲全球的"Wannacry"勒索病毒等著名攻擊事件的幕後組織。2017年以來,該組織將攻擊目標不斷擴大,日趨以經濟利益為目的,從針對全球的傳統金融機構銀行系統進行攻擊,開始轉向於針對全球加密貨幣組織和相關機構以及個人進行攻擊。
近日,360核心安全高級威脅應對團隊截獲了一起APT-C-26(Lazarus 音譯"拉撒路")組織針對數字加密貨幣機構以及相關人員APT攻擊活動,疑似該組織模仿開源交易軟件"Qt Bitcoin Trader"開發了一款名為"Celas Trade Pro"的數字加密貨幣交易軟件,在軟件中植入了後門代碼,針對使用該軟件的用戶進行定向攻擊。該軟件分為windows和mac兩個版本,支持跨平臺攻擊,軟件在啟動時會收集用戶信息,然後從雲端下發惡意代碼執行。
該軟件的官方網站
軟件針對數字加密貨幣機構以及相關人員的推廣郵件
被模仿的原版Qt Bitcoin Trader交易軟件只有一個主程序
該款交易軟件則增加了一個升級模塊updater,程序啟動時執行這個後門模塊
後門會收集本地信息,包括進程列表、計算機名稱、系統信息,並且將收集到的信息加密後發往服務器。
進程信息收集
註冊表信息收集:
計算機名稱:
然後執行服務器返回的惡意代碼.
目前360安全衛士已經率先對該惡意程序進行查殺,並對軟件網站進行攔截防止該惡意程序的進一步傳播。
當你發現電腦出現卡慢,或者其他一些異常現象時要儘快用360安全衛士進行查殺哦~
360安全衛士下載地址:http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章
