仿冒奇安信证书！针对区块链客户的定向攻击活动

主要观点总结

奇安信威胁情报中心和天擎猎鹰团队发现一伙针对区块链行业客户的未知攻击者，通过Telagram传播恶意压缩包。压缩包中包含Lnk诱饵，内存加载DcRat，带有自签名证书模仿qianxin.com。目前天擎的威胁防御引擎已可拦截该Lnk。样本分析显示攻击者从远程服务器下载vbs脚本并启动，使用主流GPT自动生成的脚本代码。攻击者的基础设施曾搭建比特币售卖网站，疑似用于诈骗。目前基于奇安信威胁情报中心的威胁情报数据的全线产品都已经支持对此类攻击的精确检测。

关键观点总结

关键观点1: 未知攻击者针对区块链行业客户展开攻击

攻击者通过Telagram传播恶意压缩包，内含Lnk诱饵，加载DcRat，并模仿qianxin.com的自签名证书。

关键观点2: 样本分析揭示攻击者的策略

攻击者从远程服务器下载vbs脚本并执行，使用类似于主流GPT自动生成的脚本代码。其基础设施曾搭建比特币售卖网站，疑似用于诈骗。

关键观点3: 全线产品已支持对此类攻击的精确检测

基于奇安信威胁情报中心的威胁情报数据，包括TIP、天擎、天眼等都已经能够精确检测此类攻击。

免责声明