微软安全威胁情报团队透露，通过最近调查的一次攻击，其中被追踪为 DEV-0139 的威胁团伙利用 Telegram 聊天组将目标锁定在加密货币投资公司。

DEV-0139加入了用于促进 VIP 客户和加密货币交易平台之间沟通的电报群，并从成员中确定了他们的目标。

在获得目标的信任后，攻击者向他们发送了名为“OKX Binance & Huobi VIP fee comparison.xls”的恶意 Excel 电子表格，其中包含加密货币交易所公司 VIP 费用结构之间的数据比较（可能准确以提高可信度）。

恶意 Excel 工作表 (BleepingComputer)

一旦受害者打开文档并启用宏，文件中嵌入的第二个工作表将下载并解析 PNG 文件以提取恶意 DLL、异或编码的后门以及随后用于侧载 DLL 的合法 Windows 可执行文件。该 DLL 将解密并加载后门，为攻击者提供对受害者受损系统的远程访问权限。

作为此次活动的一部分，DEV-0139 还提供了第二个有效负载，即 CryptoDashboardV2 应用程序的 MSI 包，这表明他们还支持使用相同技术推送自定义有效负载的其他攻击。

微软并没有将这次攻击归因于特定的团体，而是选择将其与 DEV-0139 威胁活动集群联系起来，但威胁情报公司 Volexity 在周末发布了自己关于这次攻击的调查结果，将其与Lazarus 威胁组织。

Volexity 称，Lazarus黑客使用恶意加密货币交易费用比较电子表格来删除 AppleJeus 恶意软件 Lazarus 之前曾用于加密货币劫持和数字资产盗窃行动。

Volexity 还观察到 Lazarus 使用 HaasOnline 自动加密货币交易平台的网站克隆来分发木马化的 BloxHolder 应用程序，该应用程序将部署捆绑在 QTBitcoinTrader 应用程序中的 AppleJeus 恶意软件。

微软表示，它已通知受到攻击或成为这些攻击目标的客户，并分享了保护其帐户所需的信息。

来源：HACKBASE