APT-C-26(Lazarus 音译”拉撒路”)是从2009年以来至今一直处于活跃的APT组织，据国外安全公司调查显示，该组织最早的攻击可能和2007年针对韩国政府网站大规模DDOS攻击的“Operation Flame”行动相关，同时可能是2014 年索尼影业遭黑客攻击事件，2016 年孟加拉国银行数据泄露事件和2017年席卷全球的“Wannacry”勒索病毒等著名攻击事件的幕后组织。2017年以来，该组织将攻击目标不断扩大，日趋以经济利益为目的，从针对全球的传统金融机构银行系统进行攻击，开始转向于针对全球加密货币组织和相关机构以及个人进行攻击。

近日，360核心安全高级威胁应对团队截获了一起APT-C-26(Lazarus 音译”拉撒路”)组织针对数字加密货币机构以及相关人员APT攻击活动，疑似该组织模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件，在软件中植入了后门代码，针对使用该软件的用户进行定向攻击。该软件分为windows和mac两个版本，支持跨平台攻击，软件在启动时会收集用户信息，然后从云端下发恶意代码执行。

该软件的官方网站

软件针对数字加密货币机构以及相关人员的推广邮件

被模仿的原版Qt Bitcoin Trader交易软件只有一个主程序

该款交易软件则增加了一个升级模块updater,程序启动时执行这个后门模块

后门会收集本地信息，包括进程列表、计算机名称、系统信息，并且将收集到的信息加密后发往服务器。

进程信息收集：

注册表信息收集：

计算机名称：

然后执行服务器返回的恶意代码.

目前360安全卫士已经率先对该恶意程序进行查杀，并对软件网站进行拦截防止该恶意程序的进一步传播。

IOC

Md5

aeee54a81032a6321a39566f96c822f5

b054a7382adf6b774b15f52d971f3799

C&C

https://www.celasllc.com/checkupdate.php