朝鲜黑客国家队动作不断,Lazarus下属小分队BlueNoroff针对全球中小公司下手,卷走大量加密货币资金。 俄罗斯网络安全公司卡巴斯基追踪到了这波入侵活动,并为之命名“SnatchCrypto”(“抢币行动”)。该公司指出,SnatchCrypto自2017年开始便四处出击,足迹遍布中国、中国香港、印度、波兰、俄罗斯、新加坡、斯洛文尼亚、捷克共和国、阿联酋、美国、乌克兰和越南,主要下手对象是金融科技行业的初创公司。 研究人员称:“攻击者将带有监视功能的全功能Windows后门伪装成合同或其他商务文档,巧妙利用目标公司雇员的信任,诱使他们收下这些暗藏玄机的恶意文件。为最终掏空受害者的加密货币钱包,这一黑客组织开发出了全面而又危险的各类资源:复杂基础设施、漏洞利用程序和恶意软件植入物。” BlueNoroff及其上级组织Lazarus以部署多样化恶意软件武器库而闻名,常运用多种手段攻击目标公司,非法攫取资金。他们惯于依靠各种高级网络钓鱼战术和复杂恶意软件,为饱受美国制裁的朝鲜挖掘经济利益,支持其核武和弹道导弹研发项目。 事实上,这些网络攻击活动回报巨大。区块链分析公司Chainalysis最近发布报告称,仅2021年一年,Lazarus黑客组织就与七起加密货币平台攻击事件有关,卷走了价值近4亿美元的数字资产,非法所得比2020年高出1亿美元。 朝鲜相关黑客活动总数及所涉总金额 研究人员表示:“这些攻击主要针对投资公司和中心化交易所,旨在从此类机构的联网‘热’钱包中抽取资金,流入朝鲜控制下的钱包地址。一旦得手,朝鲜便会展开小心谨慎的洗钱过程,通过加密货币混合器掩盖踪迹并提现。” 记录在案的朝鲜黑客国家队恶意活动多以针对外国金融机构的网络劫案形式呈现,尤其是2015-2016年间的多起SWIFT银行网络黑客事件,最近的黑客活动则是部署名为AppleJeus的后门,伪装成加密货币交易平台,劫掠并转移资金到他们的账户上。 在精心编造社会工程骗局骗取目标信任方面,SnatchCrypto攻击并没有独树一帜。他们伪装成合法风险投资公司,诱骗受害者打开暗含恶意软件的文档,由此取得攻击载荷,再由攻击载荷运行通过加密信道从远程服务器上获取的恶意程序。 |