威胁行为者直接针对加密货币投资公司

关键要点

• 威胁行为者利用Telegram聊天群组直接针对加密货币投资公司。
• 黑客组织DEV-0139通过建立信任来获取目标信息，并传播恶意文件。
• 微软建议使用入侵指标识别潜在威胁，并加强安全设置以防范攻击。

威胁行为者正在通过Telegram聊天群组直接针对加密货币投资公司。据微软的一篇新的报道，一个被追踪的黑客组织DEV-0139利用Telegram群组促进VIP客户与加密货币交易平台之间的沟通，从群组成员中挑选目标。

微软表示：“威胁行为者将目标放入另一个聊天群组，并假装询问有关加密货币交易平台的费用结构的反馈。”他们对这一行业特定领域有较广泛的了解，显示出他们做足了准备，并意识到目标公司可能面临的挑战。

在建立了联系并赢得目标信任后，DEV-0139发送了一个包含加密货币交易公司费用结构的恶意Excel文件。这份文件中可能提供了准确的数据，以提高他们的可信度。但一旦执行，这个恶意文件会危害受害者的计算机，最终安装后门以远程访问系统。

微软指出，调查表明同一威胁行为者可能利用相同技术进行其他相关活动。“通过我们的遥测进一步调查发现了另一个文件，该文件使用了相同的动态链接库（DLL）代理技术。但不同的是，这个文件是以Microsoft安装程序（MSI）包的形式交付的。”该博客中提到。

为了防御此类攻击，微软建议组织利用已包含的妥协指标来识别威胁行为者是否存在于其环境中，并评估潜在的入侵风险。组织还可以和，以更好地管理风险，同时对终端用户进行安全风险的教育。

微软强调：“加密货币市场。目标用户通过可信渠道被识别，以提高成功的机会。”同时指出：“虽然最大的公司可能会成为目标，但较小的公司同样也可能是攻击的对象。”