美國(guó)網(wǎng)絡(luò)安全公司Secureworks反恐威脅部門CTU（Counter Threat Unit）的研究人員于上周五表示，加密貨幣全球市場(chǎng)價(jià)格的持續(xù)上漲，吸引的不止是加密貨幣投資者，還包括一些黑客組織。

被眾多網(wǎng)絡(luò)安全公司懷疑為與朝鮮政府存在關(guān)系的APT組織Lazarus（音譯“拉撒路”）就是其中之一。CTU表示，該組織針正在制定一項(xiàng)的計(jì)劃并且已經(jīng)開始執(zhí)行，以竊取比特幣業(yè)內(nèi)人士的在線證書。

Lazarus堪稱全球金融機(jī)構(gòu)的首要威脅。該組織自2009年以來(lái)一直處于活躍狀態(tài)，且據(jù)推測(cè)其早在2007年就已經(jīng)涉足摧毀數(shù)據(jù)及破壞系統(tǒng)的網(wǎng)絡(luò)間諜活動(dòng)。根據(jù)調(diào)查顯示，該組織還與2014年索尼影業(yè)遭黑客攻擊事件以及2016年孟加拉國(guó)銀行數(shù)據(jù)泄露事件有關(guān)。

Secureworks在給路透社的一份聲明中表示：“鑒于目前比特幣價(jià)格的持續(xù)上漲，CTU懷疑朝鮮對(duì)加密貨幣的興趣仍然很高。并且，可能繼續(xù)圍繞加密貨幣開展活動(dòng)。”

不穩(wěn)定的比特幣價(jià)格在上個(gè)月飆升了近1萬(wàn)美元，并在月底上漲至了2萬(wàn)美元。截止到上周五，比特幣價(jià)格普遍高于17,500美元，當(dāng)天漲幅超過7％，至今其價(jià)格已上漲了18倍。

Secureworks說(shuō)，就在上個(gè)月，它監(jiān)測(cè)到了一起有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚攻擊活動(dòng)，旨在欺騙受害者打開電子郵件中的惡意附件。

釣魚電子郵件以“招聘”為主題，提供了一個(gè)位于倫敦的一家加密貨幣公司擔(dān)任首席財(cái)務(wù)官（Chief Finance Officer，CFO）的職位。

惡意附件是一個(gè)嵌入了惡意宏的Microsoft Word文件，打開時(shí)會(huì)告訴受害者需要點(diǎn)擊“啟用編輯”才能繼續(xù)查看內(nèi)容。如果受害者按照指示進(jìn)行了操作，則允許惡意宏進(jìn)行下一階段的攻擊。

惡意宏會(huì)創(chuàng)建一個(gè)單獨(dú)的誘餌文件，這其中就包括了對(duì)這個(gè)CFO職位的描述。研究人員指出，這是Lazarus常用的伎倆，在此前的活動(dòng)中，他們也會(huì)從其他招聘網(wǎng)站上將相似的職位描述復(fù)制過來(lái)作為誘餌。

在受害者查看文檔內(nèi)容時(shí)，殊不知惡意宏正在后臺(tái)安裝遠(yuǎn)程訪問木馬程序（RAT，remote access Trojan）。它將允許攻擊者可以完全訪問受害者的計(jì)算機(jī)，并允許攻擊者隨時(shí)下載其他惡意軟件。

研究人員表示，這是一種新型的木馬程序，可能是為這起攻擊活動(dòng)而專門制作的。盡管如此，它依舊與Lazarus在之前活動(dòng)中使用的惡意軟件有一些共同點(diǎn)，比如依靠C2協(xié)議的組件與命令和控制服務(wù)器進(jìn)行通信，這導(dǎo)致CTU更加堅(jiān)信這起攻擊活動(dòng)是由Lazarus發(fā)起的。