NativeCopy：卡巴斯基发现针对加密货币行业的高度活跃的APT活动

2022年第二季度，卡巴斯基研究人员见证了高级持续威胁（APT）行为者越来越多地瞄准加密货币行业实施攻击。利用加密货币相关的内容和执法部门的警告作为诱饵，这个被称为“NativeCopy”的最新的以及高度活跃的威胁行为者攻击了韩国的股市和加密货币投资者。对NaiveCopy的策略和技术的进一步分析显示，一年前有另一个相关的攻击活动针对墨西哥和英国的未知实体。这些以及其他发现都来自卡巴斯基最新的季度威胁情报摘要。

APT行为者在不断改变他们的策略，改进他们的工具，开发新的攻击技术。为了帮助用户和企业跟上这些变化，并随时了解他们可能面临的潜在威胁，卡巴斯基全球研究与分析（GReAT）团队每季度都会提供关于高级持续性威胁领域最重要的发展报告。这份为期三个月的APT趋势报告是使用卡巴斯基的私人威胁情报研究创建的，其中包括研究人员认为每个人都应该意识到的重大发展和网络事件。

2022年第二季度，卡巴斯基研究人员发现了一个新的、高度活跃的威胁行为者活动，该活动于3月开始，针对股票和加密货币投资者实施攻击。考虑到大多数APT行为者并不追求经济利益，所以这些行为是不同寻常的。这些威胁行为者利用加密货币相关的内容和执法部门的投诉作为主题来引诱其受害者。感染链涉及远程模板注入，生成一个恶意宏，该宏使用 Dropbox 启动多阶段感染过程。在获取到受害者主机信息后，恶意软件会试图获取最后阶段的有效载荷。

幸运的是，卡巴斯基专家有机会获得最后一级有效载荷，该有效载荷由几个用于从受害者那里窃取敏感信息的模块组成。通过分析这个有效载荷，卡巴斯基研究人员发现了一年前在另一个针对墨西哥和英国实体的攻击活动中使用过的额外样本。

卡巴斯基专家没有发现这个威胁行为者与已知威胁行为者的确切联系，但研究人员认为该威胁行为者熟悉韩语，并利用Konni组织以前使用的类似策略来窃取著名的韩国门户网站的登录凭据。Konni组织是一个威胁行为者，自2021年年中以来一直活跃，主要针对俄罗斯外交实体实施攻击。

“在过去几个季度，我们看到APT行为者将他们的注意力转向加密货币行业。这些威胁行为者会使用各种技术，不仅为了获取信息，还为了获取金钱。在APT领域，这是一种并不寻常，但是却越来越明显的趋势。为了对抗这些威胁，企业需要获得对最近网络威胁形势的了解。威胁情报是一个重要的组成部分，能够可靠和及时地预测此类攻击，”卡巴斯基全球研究与分析团队首席安全研究员David Emm评论说。

要阅读完整的2022年第二季度APT趋势报告，请访问Securelist.com

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取一下措施：

为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。为了帮助企业在这个动荡的时代实现有效的防御，卡巴斯基宣布免费提供独立的且不断更新的、有关正在进行的全球网络攻击和威胁的信息。申请在线访问。

使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

使用企业级别的EDR解决方案，例如卡巴斯基EDR专家安全。这类解决方案对于在大量分散的警报中检测威胁至关重要，因为其能够自动将警报合并为事件，以最有效的方式分析和应对事件。

除了采取基础端点保护措施外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台。

由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台。