在美國(guó)，英國(guó)，德國(guó)，新加坡，荷蘭，日本和其他國(guó)家，針對(duì)不斷發(fā)展的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)使用LinkedIn誘餌時(shí)，觀察到了被追蹤為L(zhǎng)azarus Group的朝鮮黑客。

這不是Lazarus黑客(美國(guó)情報(bào)共同體和Microsoft Zinc都將其追蹤為HIDDEN COBRA)首次瞄準(zhǔn)加密貨幣組織。

[[339311]]

聯(lián)合國(guó)(UN)安全理事會(huì)專家說(shuō)，朝鮮人是在2017年至2018年期間導(dǎo)致5.71億美元損失的加密貨幣搶劫案的背后，美國(guó)財(cái)政部后來(lái)批準(zhǔn)了三個(gè)朝鮮民主主義人民共和國(guó)資助和出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織(拉撒路，安達(dá)里爾和Bluenoroff)。

美國(guó)陸軍上個(gè)月的一份報(bào)告估計(jì)，朝鮮的黑客總數(shù)超過(guò)6,000，其中許多來(lái)自其他國(guó)家，包括俄羅斯和印度。

今年初，3月，作為單筆加密貨幣交易黑客攻擊的一部分，拉薩魯斯集團(tuán)(Lazarus Group)在2018年盜竊的大約2.5億美元中，有兩名中國(guó)公民被美國(guó)指控洗劫了價(jià)值超過(guò)1億美元的加密貨幣。

LinkedIn網(wǎng)上誘騙針對(duì)加密貨幣公司的系統(tǒng)管理員

今天，F(xiàn)-Secure Labs的安全研究人員表示，他們將針對(duì)網(wǎng)絡(luò)釣魚的攻擊歸因于與Lazarus Group垂直的加密貨幣組織。

盡管威脅行為者顯然已努力消除其攻擊的任何暗示-包括禁用反惡意軟件解決方案并從受損設(shè)備中移除了它們的惡意植入物，但F-Secure發(fā)現(xiàn)了Lazarus活動(dòng)的跡象，因此有可能這樣做。

研究人員發(fā)現(xiàn)：“除了一臺(tái)主機(jī)外，所有主機(jī)都在入侵過(guò)程中關(guān)閉，因此無(wú)法訪問(wèn)，Lazarus Group能夠安全地刪除他們使用的任何惡意軟件的痕跡以及大量法醫(yī)證據(jù)，”研究人員發(fā)現(xiàn)。

F-Secure能夠根據(jù)被感染系統(tǒng)上留下的惡意植入物歸因于攻擊，并在拉撒路行動(dòng)后由研究人員收集(與該組織先前使用的工具相同)以及北部使用的戰(zhàn)術(shù)，技術(shù)和程序(TTP)韓國(guó)黑客的早期行動(dòng)。

F-Secure今天早些時(shí)候表示：“基于從Lazarus Group攻擊中回收的網(wǎng)絡(luò)釣魚文物，F(xiàn)-Secure的研究人員能夠?qū)⑹录c至少自2018年1月以來(lái)一直在進(jìn)行的更廣泛的持續(xù)活動(dòng)聯(lián)系起來(lái)。”

“ [S]類似的人工制品已用于至少14個(gè)國(guó)家/地區(qū)的運(yùn)動(dòng)中：美國(guó)，中國(guó)，英國(guó)，加拿大，德國(guó)，俄羅斯，韓國(guó)，阿根廷，新加坡，中國(guó)香港，荷蘭，愛(ài)沙尼亞，日本和菲律賓人。”

感染鏈

Lazarus Group引誘文件

正在進(jìn)行的網(wǎng)絡(luò)釣魚活動(dòng)

黑客使用了偽造成通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)保護(hù)文件的惡意制作的Word文檔，該文檔要求目標(biāo)設(shè)備使內(nèi)容能夠訪問(wèn)其余信息。

但是，在啟用內(nèi)容之后，該文檔執(zhí)行了惡意嵌入的宏代碼，該宏代碼連接到bit.ly鏈接(自2019年5月初以來(lái)已從多個(gè)國(guó)家訪問(wèn)了數(shù)十次)，并在首先收集并向攻擊者的系統(tǒng)信息泄露后部署了最終的惡意軟件有效載荷。命令和控制服務(wù)器。

這些惡意植入程序具有多種功能，允許Lazarus黑客“下載其他文件，解壓縮內(nèi)存中的數(shù)據(jù)，啟動(dòng)C2通信，執(zhí)行任意命令以及從多個(gè)來(lái)源竊取憑據(jù)”。

F-Secure還觀察了Lazarus Group，同時(shí)在受感染的設(shè)備上禁用憑據(jù)保護(hù)以使用開(kāi)源Mimikatz后利用工具從內(nèi)存中捕獲憑據(jù)。

研究人員總結(jié)說(shuō)：“拉撒路集團(tuán)的活動(dòng)是持續(xù)的威脅：與這種攻擊有關(guān)的網(wǎng)絡(luò)釣魚活動(dòng)一直持續(xù)到2020年，這提高了在目標(biāo)垂直市場(chǎng)運(yùn)營(yíng)的組織的意識(shí)和持續(xù)的警惕性?！?/p>

“根據(jù)F-Secure的評(píng)估，該組織將繼續(xù)以加密貨幣垂直領(lǐng)域?yàn)槟繕?biāo)，同時(shí)仍將保持這種獲利的追求，但也可能擴(kuò)展至垂直貨幣領(lǐng)域的供應(yīng)鏈要素，以提高活動(dòng)的回報(bào)和壽命?！?/p>