一、APT黑客组织为何又盯上数字货币

近日，腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃，利用最新Flash漏洞CVE-2018-4878频繁发起攻击，通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击，对象主要为国外数字货币交易所。

从Adobe漏洞致谢公告来看，CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组（KR-CERT）发现。而KR-CERT也表示，来自朝鲜的黑客组织已经成功利用这个0Day漏洞发起攻击，与Lazarus主要攻击目标一致，进一步验证了Lazarus组织就是本次攻击活动的发起者。

虽然该攻击目前尚未在我国发现，但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒政府、企业等用户，切勿随意打开来历不明的邮件附件，同时建议安装腾讯电脑管家等安全软件，可有效抵御不法分子的攻击。

《腾讯安全2017年度互联网安全报告》指出，2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示，本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。

据公开资料介绍，Lazarus（T-APT-15）组织是来自朝鲜的APT组织，该组织长期对韩国、美国进行渗透攻击，此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露，但是该组织从未停止攻击的脚步，同时还把攻击目标不断扩大，包括能源、军事、政府等部门专项金融机构，尤其是数字货币交易所等，该组织堪称全球金融机构的最大威胁。

Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击，同时武器库强大，具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击，通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾，将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容，具有极强的迷惑性和诱惑性，以此吸引用户下载运行。

腾讯安全反病毒实验室经过分析溯源发现，该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马，最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能，用户一旦中招，电脑重要信息将面临极大威胁。

二、新APT组织DarkCasino:零日漏洞的攻击浪潮

2022年5月，绿盟科技伏影实验室揭露了一起名为DarkCasino的APT攻击事件，证实了一个活跃且具备较高对抗能力的攻击者，并对其持续跟踪。随着对攻击者活动的深入研究，伏影实验室逐渐排除了该攻击者与已知黑客组织的联系，确认其高级持续性威胁性质，并沿用以行动名称，将该攻击者命名为DarkCasino。

2023年8月，国外安全厂商跟进揭露了一起DarkCasino针对加密货币论坛用户的活动，并捕获了一个由该攻击者在攻击过程使用的WinRAR 0 day漏洞CVE-2023-38831。

伏影实验室对DarkCasino此次利用WinRAR漏洞的攻击活动进行了分析，确认了该攻击者当前的技战术体系；同时还在跟踪WinRAR漏洞在野利用时发现了大量已知APT组织和未确认攻击者的攻击活动，这些在野漏洞利用攻击活动多以国家政府或跨国组织为目标。

本报告将介绍DarkCasino组织以及其近期攻击事件，并揭露伏影实验室捕获的WinRAR漏洞的在野利用行为。

DarkCasino组织（中文名称：鬼轮盘；绿盟科技高级威胁组织编号：APT-N-12）是一个最早于2021年活动的以经济利益为驱动的APT组织，由绿盟科技伏影实验室最早发现并命名。

伏影实验室创建了一个APT组织卡片，用于描述DarkCasino组织的主要属性与行为特征。

DarkCasino的主要攻击目标为欧洲、亚洲、中东等区域的各种线上交易平台，覆盖的行业包括加密货币、线上赌场、网络银行、网上信贷平台等，该组织擅长通过窃取目标主机中的各类密码，获取受害者存放在各种线上账户中的资产。

DarkCasino的攻击活动非常频繁，显示出对窃取网络财产的强烈渴望。早期，DarkCasino的活动范围主要为地中海周边各国以及使用相关线上金融服务的其他亚洲国家；近期，随着DarkCasino钓鱼手段的变化，其攻击已经覆盖至全球范围加密货币的用户，甚至包括韩国、越南等亚洲非英语语系国家。

DarkCasino是一个具有较强技术能力与学习能力的攻击者，擅长将各种流行的APT攻击技术融入到自己设计的攻击流程中。早期的DarkCasino主要借鉴了一个名为Evilnum的APT攻击者的攻击思路，使用恶意快捷方式、图片隐写等技术实现钓鱼攻击，并且在整体流程设计上也与Evilnum比较相似，因此伏影实验室一度将该组织归因至Evilnum；2022年下半年以后，DarkCasino逐渐抛弃了从Evilnum组织处借鉴的攻击思路，自研了一套基于多个Visual Basic组件的多级加载模式，进而实施了多起更大规模的网络攻击行动。

CVE-2023-38831是一个WinRAR软件的任意执行漏洞，最早于2023年4月被DarkCasino攻击者利用，在2023年8月的WinRAR新版本v6.23中被修复。

CVE-2023-38831的实现基于WinRAR软件的文件运行机制，通过构建一个诱饵文件、一个与诱饵文件同名的文件夹，以及文件夹内一个末尾带有空格的同名恶意文件，欺骗WinRAR调用的API函数ShellExecuteExW，使其在本应该打开诱饵文件时错误地释放恶意文件并执行。

伏影实验室观察发现，DarkCasino攻击者自2022年5月首次使用DarkMe木马程序进行大规模网络攻击以来，在一年多的时间内持续活跃，每个季度都会发动针对各类线上交易平台的攻击行动。

2023年4月，DarkCasino攻击者开发了一种新的攻击模式，展开了新的一轮针对线上交易论坛的攻击行动。

DarkCasino攻击者在这种新型攻击模式中使用了一种WinRAR zero-day漏洞（后被安全研究人员确认并分配编号CVE-2023-38831），将恶意程序放入精心构建的漏洞压缩文件中，通过在线上交易论坛发帖的方式对论坛用户进行钓鱼攻击。

伏影实验室发现，CVE-2023-38831能够融入常见的邮件或水坑式网络钓鱼攻击中，替换钓鱼邮件中常见的恶意压缩包附件，使其更有欺骗性，未受过专业训练的WinRAR用户很难识别和防御这种漏洞利用攻击；部分CVE-2023-38831漏洞利用变体还具备了一定的免杀能力，能够绕过目标设备中的终端防护软件，达到攻击效果。

伏影实验室在对CVE-2023-38831漏洞影响面进行分析时，发现自2023年8月该漏洞被披露以来，已有多个APT组织和未确认攻击者使用该漏洞进行网络钓鱼攻击，这些攻击的目标多数为各国的重要政府机构。

目前，已经观测到东南亚APT组织DarkPink、东亚APT组织Konni、东欧APT组织GhostWriter使用CVE-2023-38831漏洞开展网络攻击活动。

伏影实验室还捕获了大量无法归因至已知APT攻击者的在野漏洞利用文件。鉴于这些漏洞利用文件针对的目标多为政府机构、跨国机构等敏感目标，伏影实验室对这些攻击者进行了标记，分配了追踪用的临时名称Actor230830、Actor231003、Actor231004以及Actor231010。

此外，伏影实验室还捕获到了疑似针对我国的WinRAR漏洞在野利用事件，并将对应攻击者编号为Actor231009。

新型APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831，给2023下半年的APT攻击形势带来了变数，多个APT组织纷纷利用该漏洞的N day窗口期，对政府等重点目标实施攻击，期望绕过这些重点单位的防护体系，达成攻击目的。

伏影实验室捕获的部分在野攻击事件表明，已经有攻击者将我国重点单位列入攻击目标，尝试使用该WinRAR漏洞实施入侵。考虑到WinRAR软件在我国的覆盖度，此类攻击提醒我们及时建立针对该漏洞的防御措施。

关于伏影实验室

伏影实验室研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

三、apt币合约地址

1、打开Cydia。

2、进入Cydia后，点击管理中的【软件源】。

3、进入到【软件源】页面，点击【编辑】按钮。

4、点击【添加】源按钮，跳出添加源弹窗。

5、在弹窗中输入需要添加PP助手源地址http：//apt.25pp.com，并点击添加源

6、等待源地址更新完成并当出现【回到Cydia】按钮。

7、完成添加，可以在软件源列表里看见所添加的源。