概述

近期，绿盟科技伏影实验室捕获了一起针对多吉币（Dogecoin，狗狗币）关注者的钓鱼攻击事件。黑客使用精心设计的加密钓鱼文档，在诱骗受害者启用编辑功能解密文本内容的同时，利用恶意vba脚本执行恶意程序，最终通过投放cobaltstrike beacon控制受害者主机，实现窃取受害者敏感数据的目的。通过分析，伏影实验室确认本次事件的攻击源来自土耳其某学术机构，背后的攻击者可能是有长期活动历史和较高技术水平的攻击组织（APT）。

事件分析

多吉币（Dogecoin）凭借其近期的话题度和在价格上的表现，成为了虚拟货币市场上的流量明星，吸引了大量投资者的关注。与此同时，从事信息窃取的黑客也没有放过这些新入场的玩家们。

本次事件中，攻击者投放的诱饵文档名为dogecoin_survey.doc，文档最终显示的内容也是关于多吉币历史的文章，可以看出其攻击目标非常明确。经过多级释放后，黑客在受害者主机上植入了cobaltstrike beacon程序。这种全功能的RAT木马可以轻易地窃取受害者主机上的各种密码、键盘输入、屏幕内容等信息，从而实施与加密货币有关的盗窃行动。

该起攻击事件中，黑客使用的攻击手法，包括诱饵内容解密方式、中间载荷形式、解密算法、前置通信逻辑等，与常见钓鱼邮件攻击者的手法都有很大差异，并且显示了一定的设计水平。此外，黑客控制的CnC位置较为特殊，展现了其对社会机构设施的渗透和控制能力。这一现象说明近期加密货币的热潮可能吸引了一些“跨专业”的黑客进场，并使用自主设计的攻击流程进行信息窃取活动。

攻击者关联

本次攻击事件中，四阶段下载者木马LetMeOut.exe和最终阶段远控木马cobaltstrike beacon的通信CnC地址均为http://jc.neu.edu.tr/。经查询，该域名归属于土耳其私立大学近东大学（yakin dogu üniversitesi），这说明该机构的部分网络设施已遭到滥用，或已被黑客控制。

目前，攻击者展现的对学术机构进行攻击和恶意利用的相关行为，证明其对该次攻击的准备十分充足，这是长期的高威胁攻击组织（APT）的特征之一。伏影实验室正在采集和确认该攻击者与已知攻击组织的联系。