1. 黑客安全网-互联网安全媒体信息综合平台首页
  2. 分类阅读
  3. 网络安全

CryptoCore黑客突破了2亿美元的加密货币交易所

一家名为CryptoCore的黑客组织已完成了价值7000万美元的加密货币抢劫,但研究表明,自2018年以来,其估值可能超过2亿美元。

根据网络安全公司ClearSky的最新报告,一个名为CryptoCore(又名“危险密码”)或“ Leery Turtle”的黑客组织通过针对员工和管理人员的鱼叉式钓鱼活动来锁定加密货币交易所。

“ CryptoCore抢劫的主要目标是获得对加密货币交易所钱包的访问权限,无论是普通公司钱包还是属于交易所员工的钱包。对于这种操作,该小组从对公司及其执行人员的广泛侦查阶段开始,人员和IT人员”,ClearSky报告指出。

热门文章Nvidia adds Windows 10 2004 GPU schedulingto GeForce drivers

READ MORE

自2018年以来,CryptoCore一直主要针对美国和日本的公司,自2018年以来,ClearSky已将其归因于五次攻击。

 CryptoCore操作时间表
CryptoCore操作时间表
资料来源:ClearSky

尽管尚不清楚这个黑客组织的所在地,但ClearSky认为威胁者与东欧地区,乌克兰,俄罗斯或罗马尼亚有联系。

有针对性的鱼叉式网络钓鱼攻击

CryptoCore会经过侦查阶段,以便在进行攻击时为加密货币交易所的执行人员识别个人电子邮件帐户。

“鱼叉式网络钓鱼通常是通过模仿目标组织或另一组织(例如,咨询委员会)的高级雇员来与目标雇员建立联系来实现的。在获得初步立足点之后,该组织的主要目标是获得与报告的受害者说,这是存储加密钱包和其他有价值资产的密钥的地方,这些密钥将在横向移动阶段派上用场。

攻击杀死链
攻击杀死链(单击查看大图)
来源:ClearSky

通过使用模拟附属组织的域,模拟高管或附属公司的电子邮件以及通过电子邮件传播的恶意.LNK和文档,针对目标针对这些鱼叉式网络钓鱼攻击进行了自定义。

鱼叉式网络钓鱼电子邮件示例
鱼叉式网络钓鱼电子邮件示例
来源:ClearSky

分布式文档伪装成需要密码才能打开的受保护文件。此密码位于Password.txt.lnk文件中,该文件在打开时将执行VBS脚本以下载其他恶意文件。

这些VBS脚本被用作受害者计算机的后门程序,如JPCERT研究的CryptoCore的TTP图所示  。

CryptoCore的TTP
CryptoCore的TTP
来源:JPCERT

一旦CryptoCore成功感染了受害者,攻击者将使用后门试图窃取通常存储在密码管理器中的加密钱包的密钥。

ClearSky还怀疑该组织在受到破坏的计算机上使用mimikatz来收集网络域的Windows凭据。

然后,这些凭据将使攻击者在搜索并窃取加密货币钱包的密钥时,可以在整个网络中横向传播。

一旦从交换钱包中删除了多因素身份验证,威胁参与者便立即访问它们,并将加密货币转移到他们控制下的钱包中。

CryptoCore在针对加密货币交易所的目标上并不孤单。

2020年3月,美国司法部制裁了两名中国公民,因为他们洗劫了朝鲜网络犯罪组织拉撒路集团(Lazarus Group)袭击期间被盗的加密货币。

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/2474.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注