攻擊概述

朝鮮國(guó)家支持的黑客組織實(shí)施了被安全專家稱為迄今為止規(guī)模最大的加密貨幣盜竊行動(dòng)，通過(guò)精心設(shè)計(jì)的攻擊鏈成功竊取約6.25億美元。該行動(dòng)入侵了一位知名macOS開(kāi)發(fā)者的工作環(huán)境，并利用亞馬遜云服務(wù)（AWS）基礎(chǔ)設(shè)施作為跳板。

這項(xiàng)針對(duì)多家加密貨幣交易所同時(shí)發(fā)起的高級(jí)持續(xù)性威脅（APT）行動(dòng)，展現(xiàn)出前所未有的技術(shù)協(xié)調(diào)水平和操作安全性。

入侵路徑分析

攻擊初始階段通過(guò)針對(duì)某加密貨幣交易平臺(tái)高級(jí)開(kāi)發(fā)者的魚(yú)叉式釣魚(yú)（spear-phishing）實(shí)現(xiàn)。該開(kāi)發(fā)者擁有對(duì)平臺(tái)代碼庫(kù)的特權(quán)訪問(wèn)權(quán)限。

攻擊者部署了一種專門(mén)針對(duì)macOS環(huán)境的未公開(kāi)記錄惡意軟件變種，該軟件通過(guò)組合使用啟動(dòng)代理（launch agents）和動(dòng)態(tài)庫(kù)劫持（dylib hijacking）技術(shù)實(shí)現(xiàn)持久化駐留。

獲得立足點(diǎn)后，攻擊者完全掌控了開(kāi)發(fā)者的工作環(huán)境，包括獲取關(guān)鍵代碼倉(cāng)庫(kù)和云服務(wù)的訪問(wèn)憑證。隨后，攻擊者轉(zhuǎn)向托管交易平臺(tái)部分基礎(chǔ)設(shè)施的多個(gè)AWS實(shí)例。

技術(shù)細(xì)節(jié)

通過(guò)利用開(kāi)發(fā)者的合法AWS憑證，攻擊者在系統(tǒng)中部署了額外后門(mén)，同時(shí)規(guī)避了傳統(tǒng)檢測(cè)機(jī)制。該攻擊行動(dòng)持續(xù)約18天未被發(fā)現(xiàn)，直至異常交易模式觸發(fā)安全警報(bào)。

Elastic安全研究人員通過(guò)監(jiān)測(cè)多家加密貨幣交易所的異常網(wǎng)絡(luò)流量模式識(shí)別出此次攻擊。分析顯示，攻擊者使用包含多個(gè)代理節(jié)點(diǎn)和加密通信通道的復(fù)雜命令控制（C2）基礎(chǔ)設(shè)施來(lái)隱藏真實(shí)位置。

"這標(biāo)志著朝鮮網(wǎng)絡(luò)攻擊能力的重大升級(jí)，"Elastic研究團(tuán)隊(duì)在其分析報(bào)告中指出。

攻擊執(zhí)行流程

惡意軟件采用多階段感染機(jī)制，初始階段偽裝成看似無(wú)害的應(yīng)用程序更新。執(zhí)行后會(huì)部署以下shell腳本建立持久化：

#!/bin/bash 
mkdir -p ~/Library/LaunchAgents/ 
cat > ~/Library/LaunchAgents/com.trading.updater.plist 
Label com.trading.updater 
ProgramArguments /usr/bin/python3 $HOME/.hidden/loader.py 
RunAtLoad 
KeepAlive 
EOF 
launchctl load ~/Library/LaunchAgents/com.trading.updater.plist

該腳本隨后執(zhí)行基于Python的加載器，從被入侵的AWS S3存儲(chǔ)桶獲取下一階段有效載荷。惡意軟件采用包括環(huán)境檢查在內(nèi)的多種反分析技術(shù)來(lái)檢測(cè)虛擬化和調(diào)試嘗試。

AWS跳板技術(shù)尤其值得關(guān)注，攻擊者利用合法憑證創(chuàng)建臨時(shí)實(shí)例作為轉(zhuǎn)移加密貨幣錢(qián)包數(shù)據(jù)的中繼點(diǎn)。通過(guò)將這些合法AWS資源作為流量路由節(jié)點(diǎn)，攻擊者成功將其活動(dòng)隱藏在可信云基礎(chǔ)設(shè)施背后。

研究?jī)r(jià)值

安全研究人員在受控環(huán)境中完整復(fù)現(xiàn)了攻擊鏈，為未來(lái)檢測(cè)和防御類似攻擊提供了關(guān)鍵見(jiàn)解。該事件凸顯了朝鮮相關(guān)組織對(duì)全球金融機(jī)構(gòu)和加密貨幣平臺(tái)構(gòu)成的持續(xù)威脅。