洗劫58億比特幣的黑客組織再次行動(dòng),通過虛假工作鎖定攻擊目標(biāo)
在美國,英國,德國,新加坡,荷蘭,日本和其他國家,針對(duì)不斷發(fā)展的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)使用LinkedIn誘餌時(shí),觀察到了被追蹤為L(zhǎng)azarus Group的朝鮮黑客。
這不是Lazarus黑客(美國情報(bào)共同體和Microsoft Zinc都將其追蹤為HIDDEN COBRA)首次瞄準(zhǔn)加密貨幣組織。
聯(lián)合國(UN)安全理事會(huì)專家說,朝鮮人是在2017年至2018年期間導(dǎo)致5.71億美元損失的加密貨幣搶劫案的背后,美國財(cái)政部后來批準(zhǔn)了三個(gè)朝鮮民主主義人民共和國資助和出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織(拉撒路,安達(dá)里爾和Bluenoroff)。
美國陸軍上個(gè)月的一份報(bào)告估計(jì),朝鮮的黑客總數(shù)超過6,000,其中許多來自其他國家,包括俄羅斯和印度。
今年初,3月,作為單筆加密貨幣交易黑客攻擊的一部分,拉薩魯斯集團(tuán)(Lazarus Group)在2018年盜竊的大約2.5億美元中,有兩名中國公民被美國指控洗劫了價(jià)值超過1億美元的加密貨幣。
LinkedIn網(wǎng)上誘騙針對(duì)加密貨幣公司的系統(tǒng)管理員
今天,F(xiàn)-Secure Labs的安全研究人員表示,他們將針對(duì)網(wǎng)絡(luò)釣魚的攻擊歸因于與Lazarus Group垂直的加密貨幣組織。
盡管威脅行為者顯然已努力消除其攻擊的任何暗示-包括禁用反惡意軟件解決方案并從受損設(shè)備中移除了它們的惡意植入物,但F-Secure發(fā)現(xiàn)了Lazarus活動(dòng)的跡象,因此有可能這樣做。
研究人員發(fā)現(xiàn):“除了一臺(tái)主機(jī)外,所有主機(jī)都在入侵過程中關(guān)閉,因此無法訪問,Lazarus Group能夠安全地刪除他們使用的任何惡意軟件的痕跡以及大量法醫(yī)證據(jù),”研究人員發(fā)現(xiàn)。
F-Secure能夠根據(jù)被感染系統(tǒng)上留下的惡意植入物歸因于攻擊,并在拉撒路行動(dòng)后由研究人員收集(與該組織先前使用的工具相同)以及北部使用的戰(zhàn)術(shù),技術(shù)和程序(TTP)韓國黑客的早期行動(dòng)。
F-Secure今天早些時(shí)候表示:“基于從Lazarus Group攻擊中回收的網(wǎng)絡(luò)釣魚文物,F(xiàn)-Secure的研究人員能夠?qū)⑹录c至少自2018年1月以來一直在進(jìn)行的更廣泛的持續(xù)活動(dòng)聯(lián)系起來。”
“ [S]類似的人工制品已用于至少14個(gè)國家/地區(qū)的運(yùn)動(dòng)中:美國,中國,英國,加拿大,德國,俄羅斯,韓國,阿根廷,新加坡,中國香港,荷蘭,愛沙尼亞,日本和菲律賓人。”
感染鏈
Lazarus Group引誘文件
正在進(jìn)行的網(wǎng)絡(luò)釣魚活動(dòng)
黑客使用了偽造成通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)保護(hù)文件的惡意制作的Word文檔,該文檔要求目標(biāo)設(shè)備使內(nèi)容能夠訪問其余信息。
但是,在啟用內(nèi)容之后,該文檔執(zhí)行了惡意嵌入的宏代碼,該宏代碼連接到bit.ly鏈接(自2019年5月初以來已從多個(gè)國家訪問了數(shù)十次),并在首先收集并向攻擊者的系統(tǒng)信息泄露后部署了最終的惡意軟件有效載荷。命令和控制服務(wù)器。
這些惡意植入程序具有多種功能,允許Lazarus黑客“下載其他文件,解壓縮內(nèi)存中的數(shù)據(jù),啟動(dòng)C2通信,執(zhí)行任意命令以及從多個(gè)來源竊取憑據(jù)”。
F-Secure還觀察了Lazarus Group,同時(shí)在受感染的設(shè)備上禁用憑據(jù)保護(hù)以使用開源Mimikatz后利用工具從內(nèi)存中捕獲憑據(jù)。
研究人員總結(jié)說:“拉撒路集團(tuán)的活動(dòng)是持續(xù)的威脅:與這種攻擊有關(guān)的網(wǎng)絡(luò)釣魚活動(dòng)一直持續(xù)到2020年,這提高了在目標(biāo)垂直市場(chǎng)運(yùn)營的組織的意識(shí)和持續(xù)的警惕性。”
“根據(jù)F-Secure的評(píng)估,該組織將繼續(xù)以加密貨幣垂直領(lǐng)域?yàn)槟繕?biāo),同時(shí)仍將保持這種獲利的追求,但也可能擴(kuò)展至垂直貨幣領(lǐng)域的供應(yīng)鏈要素,以提高活動(dòng)的回報(bào)和壽命。”
