2020 年 9 月从 KuCoin 交易所盗取价值约3亿美元的数字资产。 2022 年 3 月攻击 Ronin 跨链桥,盗取17.36 万个ETH 和 2550 万 USDC 被盗,累计价值约 6.2 亿美元。 此外,许多加密项目方负责人或者 KOL 也会成为 Lazarus Group 的目标。2022年3月22日,Defiance Capital 创始人 Arthur 在推特表示热钱包被盗,包括 17 枚 azuki 和 5 枚 cloneX 在内的的 60 枚 NFT ,损失约 170 万美元。Arthur称有证据表明幕后黑手是朝鲜支持的 BlueNorOff 黑客组织,他们正在大力伤害加密行业。 面对外界的指控,朝鲜曾发表公告称不是Lazarus Group所为,但此后从不回应媒体的询问。 攻击特点 根据虎符智库分析,Lazarus Group 通过网络钓鱼、恶意代码、恶意软件等手段盗取存储在数字钱包的加密资产,主要有以下特点: 攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。 投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。 攻击过程会利用系统破坏或勒索应用干扰事件的分析。 利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。 每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。 Lazarus Group 最擅长的攻击手段是滥用信任,利用目标对商业通信、同事内部聊天或者与外部交互的信任,向其发送恶意文件,并监控其日常操作伺机盗窃。在攻击者意识到找到的目标是加密大户后,会仔细观察用户数周或数月的活动轨迹,最后才制定盗窃方案。 2021年1月,谷歌安全团队也曾表示发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram 等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动0day攻击。 据卡巴斯基的研究,今年 BlueNoroff 组织喜欢跟踪和研究成功的加密货币初创公司,目标是与团队管理层建立良好的个人互动关系并了解可能感兴趣的主题,甚至会雇佣或伪装成应聘者潜入公司,以便发起高质量的社会工程攻击。 美国政 府的一份报告,则进一步披露,入侵往往始于在各种通信平台上发送给加密货币公司员工的大量鱼叉式网络钓鱼消息,这些员工通常从事系统管理或软件开发/IT 运营 (DevOps)。这些消息通常模仿招聘工作并提供高薪工作以诱使收件人下载带有恶意软件的加密货币应用程序。 把恶意文件植入目标电脑之后,如果攻击者意识到目标使用Metamask拓展来管理加密钱包之后,会将扩展源从 Web Store 更改为本地存储,并将核心扩展组件(backgorund.js)替换为篡改版本。下面截图显示了受病毒感染的 Metamask background.js 代码,其中注入的代码行以黄色显示。在这种情况下,攻击者设置了对特定发件人和收件人地址之间交易的监控,可以在发现大额转账时触发通知。 (责任编辑:admin) |