掠夺58亿比特币的黑客组织又出手了，通过假工作瞄准攻击

据观察，被追踪为 Lazarus Group 的朝鲜黑客在美国、英国、德国、新加坡、荷兰、日本和其他国家/地区的鱼叉式网络钓鱼活动中使用 LinkedIn 诱饵。

这不是 Lazarus 黑客（被美国情报界和 Microsoft Zinc 跟踪为 HIDDEN COBRA）第一次将加密货币组织作为目标。

朝鲜人是加密货币抢劫案的幕后黑手，该盗窃案在 2017 年至 2018 年期间造成 5.71 亿美元的损失，美国财政部后来制裁了三个由朝鲜资助且出于经济动机的黑客组织（Lazarus、Andariel 和 Bluenoroff）。

美国陆军上个月的一份报告估计，朝鲜的黑客总数超过 6,000 人，其中许多来自其他国家，包括俄罗斯和印度。

今年早些时候，也就是 3 月，两名中国公民被美国指控在 2018 年 Lazarus Group 盗窃的估计 2.5 亿美元中掠夺了价值超过 1 亿美元的资金，作为对单笔加密货币交易的黑客攻击的一部分。 美元加密货币。

LinkedIn 网络钓鱼针对加密货币公司的系统管理员

今天，F-Secure Labs 的安全研究人员表示，他们将针对网络钓鱼的攻击归因于与 Lazarus Group 垂直的加密货币组织。

虽然威胁行为者显然已经努力消除任何攻击迹象——包括禁用反恶意软件解决方案并从受感染的设备中删除恶意植入——F-Secure 发现了 Lazarus 活动的迹象，所以可能会这样做。

研究人员发现：“在入侵期间，除了一台主机外，所有主机都关闭了，因此无法访问，因此 Lazarus Group 能够安全地删除他们使用的任何恶意软件的痕迹，以及大量的取证证据。”

F-Secure 能够根据留在受感染系统上并由研究人员在拉撒路行动后收集的恶意植入物（该组织之前使用的相同工具）以及韩国黑客的战术、技术和程序 (TTP) 早期行动来归因攻击.

F-Secure 今天早些时候表示：“基于从 Lazarus Group 攻击中恢复的网络钓鱼工件，F-Secure 研究人员能够将该事件与至少从 2018 年 1 月以来一直在进行的更广泛的持续活动联系起来。”

“[S]类似的文物已在至少 14 个国家/地区的活动中使用：美国、中国、英国、加拿大、德国、俄罗斯、韩国、阿根廷、新加坡、香港、荷兰、爱沙尼亚、日本和菲律宾”

传染链

Lazarus Group 诱饵文件

正在进行的网络钓鱼活动

黑客使用恶意制作的 Word 文档，该文档被伪造为受通用数据保护条例 (GDPR) 保护的文件，要求目标设备启用内容以访问其余信息。

然而，在启用该内容后，该文档执行恶意嵌入的宏代码，该代码连接到一个 bit.ly 链接（自 2019 年 5 月初以来，该链接已被多个国家访问数十次），并首先被收集并部署了最终的恶意软件负载在系统信息泄露给攻击者之后。 命令和控制服务器。

这些恶意植入物具有多种功能，允许 Lazarus 黑客“下载额外的文件、在内存中解压缩数据、启动 C2 通信、执行任意命令并从多个来源窃取凭据”。

F-Secure 还观察到 Lazarus Group 在受感染设备上禁用 Credential Guard 以使用开源 Mimikatz 后开发工具从内存中捕获凭据。

“Lazarus Group 活动是一个持续的威胁：与这次攻击相关的网络钓鱼活动一直持续到 2020 年，提高了在目标垂直市场运营的组织的意识和持续警惕，”研究人员总结道。 “

“根据 F-Secure 的评估，该组织将继续瞄准加密货币垂直领域，同时仍保持这种对利润的追求，但也可能扩展到垂直领域的供应链元素比特币黑客为什么没被抓比特币黑客为什么没被抓，以增加活动和生活的回报。”