新闻快讯
< >

朝鲜黑客组织Lazarus悄然袭来,针对加密货币开展活动

            朝鲜黑客组织Lazarus悄然袭来,针对加密货币开展活动-E安全

美国网络安全公司Secureworks反恐威胁部门CTU(Counter Threat Unit)的研究人员于上周五表示,加密货币全球市场价格的持续上涨,吸引的不止是加密货币投资者,还包括一些黑客组织。

被众多网络安全公司怀疑为与朝鲜政府存在关系的APT组织Lazarus(音译“拉撒路”)就是其中之一。CTU表示,该组织针正在制定一项的计划并且已经开始执行,以窃取比特币业内人士的在线证书。

Lazarus堪称全球金融机构的首要威胁。该组织自2009年以来一直处于活跃状态,且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动。根据调查显示,该组织还与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关。

Secureworks在给路透社的一份声明中表示:“鉴于目前比特币价格的持续上涨,CTU怀疑朝鲜对加密货币的兴趣仍然很高。并且,可能继续围绕加密货币开展活动。”

不稳定的比特币价格在上个月飙升了近1万美元,并在月底上涨至了2万美元。截止到上周五,比特币价格普遍高于17,500美元,当天涨幅超过7%,至今其价格已上涨了18倍。

朝鲜黑客组织Lazarus悄然袭来,针对加密货币开展活动-E安全

Secureworks说,就在上个月,它监测到了一起有针对性的鱼叉式网络钓鱼攻击活动,旨在欺骗受害者打开电子邮件中的恶意附件。

钓鱼电子邮件以“招聘”为主题,提供了一个位于伦敦的一家加密货币公司担任首席财务官(Chief Finance Officer,CFO)的职位。

恶意附件是一个嵌入了恶意宏的Microsoft Word文件,打开时会告诉受害者需要点击“启用编辑”才能继续查看内容。如果受害者按照指示进行了操作,则允许恶意宏进行下一阶段的攻击。

朝鲜黑客组织Lazarus悄然袭来,针对加密货币开展活动-E安全

恶意宏会创建一个单独的诱饵文件,这其中就包括了对这个CFO职位的描述。研究人员指出,这是Lazarus常用的伎俩,在此前的活动中,他们也会从其他招聘网站上将相似的职位描述复制过来作为诱饵。

朝鲜黑客组织Lazarus悄然袭来,针对加密货币开展活动-E安全

在受害者查看文档内容时,殊不知恶意宏正在后台安装远程访问木马程序(RAT,remote access Trojan)。它将允许攻击者可以完全访问受害者的计算机,并允许攻击者随时下载其他恶意软件。

研究人员表示,这是一种新型的木马程序,可能是为这起攻击活动而专门制作的。尽管如此,它依旧与Lazarus在之前活动中使用的恶意软件有一些共同点,比如依靠C2协议的组件与命令和控制服务器进行通信,这导致CTU更加坚信这起攻击活动是由Lazarus发起的。