Telegram被黑客利用，威胁加密货币行业

关键要点

• 微软证实了DEV-0139黑客组织通过Telegram攻击加密货币企业。
• SafeGuard Cyber的调查发现，黑客利用类似的手段模仿合法角色。
• 黑客通过建立信任后发送恶意文件，甚至伪装成客户公司的已知员工。
• 加密货币行业的安全监控与合规性功能正在趋于融合。

近期，一个月前微软披露了一名威胁行为者通过Telegram与加密货币VIP用户联系并感染他们的恶意软件后，另一家公司发现了更多证据，显示恶意行为者在加密货币领域模仿合法角色。

微软安全部门在去年12月识别出的DEV-0139威胁行为者，利用Telegram群组聊天对加密货币投资公司发起攻击。在微软的报告发布后，一家加密货币公司聘请SafeGuardCyber进行调查，以确定他们是否也成了DEV-0139的目标。

SafeGuard Cyber的第七分部（D7）威胁情报团队随后发现并确认该公司的员工在2022年7月就曾遭到与DEV-0139使用的相同恶意文件的攻击。

SafeGuard Cyber的威胁情报副总裁StevenSpadaccini表示：“D7团队识别出了与微软所观察到并与DEV-0139关联的相同策略、技术和程序。”

根据微软的研究，DEV-0139通过Telegram群组促进VIP客户与加密货币交易平台之间的沟通，识别目标成员。在建立联系并赢得目标的信任后，威胁行为者发送了带有恶意代码的Excel文件，这些文件伪装成加密货币交易公司费用结构的调查问卷。此次活动的背后行动者有时展示了对加密货币领域及其参与者的深入了解。在这个特定案例中，SafeGuardCyber表示，威胁行为者确实伪装成客户组织内一位知名员工，以获取信任，然后要求他们打开一个伪装成费用结构表单的恶意宏文件。SafeGuard的研究人员指出，尽管这名个人对其Telegram个人资料和照片进行了表面上的更改以执行计划，但其元数据明确表明其为冒充者。

确保隐私，通信记录中的名称和照片被更改。 (来源: SafeGuard Cyber)

然而，尽管遵循了与DEV-0139相同的模式，Spadaccini告诉SC Media，他的团队并未将攻击归因于任何特定团体。

“这些TTP似乎表明是以上提到的团体和/或其他恶意行为者，”他指出。

这项分析的结果是，合规客户为监控的Telegram用户启用了更深入的安全检测。“这一举动是我们在2022年观察到的一种更大趋势的一部分，即在金融服务中，安全性与合规性功能的结合，以应对整体商务沟通风险。”

尽管遭遇了，Telegram在去年12月宣布，将为数百万用户构建一套去中心化的工具，包括非托管钱包和去中心化交易所。