朝鮮黑客通過入侵 macOS 開發(fā)者環(huán)境與AWS基礎(chǔ)設(shè)施實(shí)施史上最大規(guī)模加密貨幣竊取
攻擊概述
朝鮮國(guó)家支持的黑客組織實(shí)施了被安全專家稱為迄今為止規(guī)模最大的加密貨幣盜竊行動(dòng),通過精心設(shè)計(jì)的攻擊鏈成功竊取約6.25億美元。該行動(dòng)入侵了一位知名macOS開發(fā)者的工作環(huán)境,并利用亞馬遜云服務(wù)(AWS)基礎(chǔ)設(shè)施作為跳板。
這項(xiàng)針對(duì)多家加密貨幣交易所同時(shí)發(fā)起的高級(jí)持續(xù)性威脅(APT)行動(dòng),展現(xiàn)出前所未有的技術(shù)協(xié)調(diào)水平和操作安全性。
入侵路徑分析
攻擊初始階段通過針對(duì)某加密貨幣交易平臺(tái)高級(jí)開發(fā)者的魚叉式釣魚(spear-phishing)實(shí)現(xiàn)。該開發(fā)者擁有對(duì)平臺(tái)代碼庫的特權(quán)訪問權(quán)限。
攻擊者部署了一種專門針對(duì)macOS環(huán)境的未公開記錄惡意軟件變種,該軟件通過組合使用啟動(dòng)代理(launch agents)和動(dòng)態(tài)庫劫持(dylib hijacking)技術(shù)實(shí)現(xiàn)持久化駐留。
獲得立足點(diǎn)后,攻擊者完全掌控了開發(fā)者的工作環(huán)境,包括獲取關(guān)鍵代碼倉庫和云服務(wù)的訪問憑證。隨后,攻擊者轉(zhuǎn)向托管交易平臺(tái)部分基礎(chǔ)設(shè)施的多個(gè)AWS實(shí)例。
技術(shù)細(xì)節(jié)
通過利用開發(fā)者的合法AWS憑證,攻擊者在系統(tǒng)中部署了額外后門,同時(shí)規(guī)避了傳統(tǒng)檢測(cè)機(jī)制。該攻擊行動(dòng)持續(xù)約18天未被發(fā)現(xiàn),直至異常交易模式觸發(fā)安全警報(bào)。
Elastic安全研究人員通過監(jiān)測(cè)多家加密貨幣交易所的異常網(wǎng)絡(luò)流量模式識(shí)別出此次攻擊。分析顯示,攻擊者使用包含多個(gè)代理節(jié)點(diǎn)和加密通信通道的復(fù)雜命令控制(C2)基礎(chǔ)設(shè)施來隱藏真實(shí)位置。
"這標(biāo)志著朝鮮網(wǎng)絡(luò)攻擊能力的重大升級(jí),"Elastic研究團(tuán)隊(duì)在其分析報(bào)告中指出。
攻擊執(zhí)行流程
惡意軟件采用多階段感染機(jī)制,初始階段偽裝成看似無害的應(yīng)用程序更新。執(zhí)行后會(huì)部署以下shell腳本建立持久化:
#!/bin/bash
mkdir -p ~/Library/LaunchAgents/
cat > ~/Library/LaunchAgents/com.trading.updater.plist
Label com.trading.updater
ProgramArguments /usr/bin/python3 $HOME/.hidden/loader.py
RunAtLoad
KeepAlive
EOF
launchctl load ~/Library/LaunchAgents/com.trading.updater.plist
該腳本隨后執(zhí)行基于Python的加載器,從被入侵的AWS S3存儲(chǔ)桶獲取下一階段有效載荷。惡意軟件采用包括環(huán)境檢查在內(nèi)的多種反分析技術(shù)來檢測(cè)虛擬化和調(diào)試嘗試。
AWS跳板技術(shù)尤其值得關(guān)注,攻擊者利用合法憑證創(chuàng)建臨時(shí)實(shí)例作為轉(zhuǎn)移加密貨幣錢包數(shù)據(jù)的中繼點(diǎn)。通過將這些合法AWS資源作為流量路由節(jié)點(diǎn),攻擊者成功將其活動(dòng)隱藏在可信云基礎(chǔ)設(shè)施背后。
研究?jī)r(jià)值
安全研究人員在受控環(huán)境中完整復(fù)現(xiàn)了攻擊鏈,為未來檢測(cè)和防御類似攻擊提供了關(guān)鍵見解。該事件凸顯了朝鮮相關(guān)組織對(duì)全球金融機(jī)構(gòu)和加密貨幣平臺(tái)構(gòu)成的持續(xù)威脅。