網(wǎng)絡(luò)安全公司Proofpoint 發(fā)布了長(zhǎng)達(dá)38頁的報(bào)告披露“與朝鮮有關(guān)的黑客組織Lazarus Group的近期網(wǎng)絡(luò)活動(dòng)”。Lazarus Group正使用加密貨幣相關(guān)的魚叉式網(wǎng)絡(luò)誘餌，通過復(fù)雜的后門和探測(cè)性惡意軟件感染目標(biāo)，之后通過Gh0st RAT等惡意軟件竊取加密貨幣錢包和交易平臺(tái)的憑證，以盜取加密貨幣。

研究人員認(rèn)為，這可能是首個(gè)被標(biāo)記為“國家型黑客為了盜取信用卡數(shù)據(jù)發(fā)起的一系列攻擊銷售點(diǎn)相關(guān)框架的實(shí)例。此外，攻擊者選擇在假日購物季攻擊PoS終端，這可能會(huì)造成重大的經(jīng)濟(jì)損失。

對(duì)多起魚叉式網(wǎng)絡(luò)釣魚電子郵件進(jìn)行分析后，研究人員發(fā)現(xiàn)一個(gè)基于PowerShell的探測(cè)植入程序（Implant）——PowerRatankba。

PowerRatankba使用的加密、模糊技術(shù)、功能、誘餌和C&C服務(wù)器與Lazarus Group開發(fā)的Ratankba非常相似。PowerRatankba通過以下攻擊途徑，借助網(wǎng)絡(luò)釣魚電子郵件活動(dòng)進(jìn)行傳播：

Windows可執(zhí)行下載程序“PowerSpritz”。

惡意Windows快捷方式（LNK）文件。

幾個(gè)惡意微軟編譯的 HTML幫助（CHM）文件。

多個(gè)JavaScript（JS）下載程序。

基于宏的Office文檔。

在釣魚網(wǎng)站托管熱門加密貨幣應(yīng)用程序，并植入后門。

PowerRatankba至少有兩個(gè)變種，充當(dāng)?shù)氖堑谝浑A段的惡意軟件，將功能齊全的后門（Gh0st RAT）傳送給對(duì)加密貨幣感興趣的目標(biāo)企業(yè)、組織機(jī)構(gòu)和個(gè)人。研究人員經(jīng)過分析發(fā)現(xiàn)PowerRatankba的操作人員只關(guān)注對(duì)加密貨幣感興趣的設(shè)備所有者。Gh0st RAT一旦安裝就緒，網(wǎng)絡(luò)犯罪分子便能竊取加密貨幣錢包和交易平臺(tái)的憑證。

值得注意的是，PowerRatankba和Gh0st RAT并未利用任何0Day漏洞，相反，Lazarus Group依賴的是混合編程，例如通過HTTP與C&C服務(wù)器通信，使用Spritz加密算法和自定義Base64編碼加密器。

早前，Lazarus Group曾被指成功黑進(jìn)幾家知名的加密貨幣公司和交易平臺(tái)，韓國執(zhí)法機(jī)構(gòu)近期懷疑該組織竊取了價(jià)值1億美元（約合人民幣6.57億元）的加密貨幣。

除了盜竊加密貨幣，該組織還使用 RatankbaPOS 惡意軟件感染韓國部署了SoftCamp（安全鍵盤軟件）的零售點(diǎn)PoS機(jī)，以此竊取信用卡數(shù)據(jù)。

由于RatankbaPOS與PowerRatankba共享相同的C&C服務(wù)器，因此這兩個(gè)植入程序被認(rèn)為與Lazarus Group有關(guān)聯(lián)。

Lazarus Group擁有大量工具、植入程序和漏洞利用，并且一直在持續(xù)開發(fā)。全球眾多信息安全企業(yè)、執(zhí)法機(jī)構(gòu)和情報(bào)機(jī)構(gòu)普遍認(rèn)為L(zhǎng)azarus Group是朝鮮國家支持型黑客。

Lazarus Group自2009年開始活躍，曾被指操縱多起大規(guī)模攻擊，包括入侵索尼影業(yè)，盜取孟加拉國央行8100萬美元，以及肆虐全球的WannaCry勒索病毒。美國近期公開指責(zé)WannaCry的“真兇”就是朝鮮。2017年12月，韓國虛擬貨幣交易所Youbit價(jià)值數(shù)百萬美元的比特幣被竊，損失17%的資產(chǎn)被迫宣告破產(chǎn)。安全專家指責(zé)Lazarus group就是罪魁禍?zhǔn)住?/p> Lazarus Group“向錢看”

加密貨幣價(jià)格一路走高，各路黑客也動(dòng)起了歪腦筋希望大撈一筆。研究人員表示，Lazarus Group也越來越傾向于發(fā)起以經(jīng)濟(jì)為動(dòng)機(jī)的攻擊，似乎格外關(guān)注加密貨幣。目前，該組織瞄準(zhǔn)的目標(biāo)不僅限于組織機(jī)構(gòu)，似乎也瞄準(zhǔn)個(gè)人。相比之下，個(gè)人用戶往往缺乏防御相關(guān)的知識(shí)和資源更易中圈套，這正好讓國家支持型黑客有了“發(fā)財(cái)”的機(jī)會(huì)。