• 發布單位:TWCERT/CC
• 更新日期:2022-12-08
• 點閱次數:195

Microsoft 近日發表資安通報，指出該公司的資安研究團隊，近來發現多家加密貨幣投資業者，遭到某駭侵團體鎖定，透過這些業者用以和 VIP 投資人互動用的 Telegram 聊天群組發動攻擊。

Microsoft 指出，一個代號為 DEV-0139 的駭侵團體，加入多家加密貨幣投資業者設立的 Telegram 聊天群組，在其中鎖定駭侵攻擊的對象，假扮為其他加密貨幣投資機構的代表，宣稱提供更好的投資機會，以及更優惠的交易手續費；並在獲得目標對象的信任後，邀請其加入另一個 Telegram 聊天室，並且傳送一份內含惡意程式碼的兩大交易所 OKX 與 Huobi Global 手續費比較試算表給受害者。

在這份試算表中暗藏的惡意程式碼，會載入一個後門，讓駭侵者得以遠端存取用戶的電腦系統，並試圖竊取受害者的加密資產。

值得注意的是，Microsoft 指出在 Telegram 聊天室中的駭侵者，具備非常豐富的加密貨幣相關專業知識，因此能輕易取信於受害者。

雖然 Microsoft 沒有指名 DEV-0139 駭侵團體的身分，但另一家資安廠商 Volexity 對同一案例進行的分析，指出這個駭侵團體可能是 APT 團體 Lazarus。

Veloxity 指出，Lazarus 長期以來利用各種手法，針對加密貨幣產業與投資者進行駭侵攻擊，以竊取其數位資產；這次的攻擊也不例外。

鑑於透過社群工具進行的加密貨幣社交工程或釣魚攻擊愈來愈頻繁，加密貨幣投資者在這類管道與其他人互動時，應特別提高警覺，勿任意點按不明連結，也絕不能提供錢包相關密碼或復原短語，以免資金被竊。