在美國，英國，德國，新加坡，荷蘭，日本和其他國家，針對不斷發(fā)展的魚叉式網(wǎng)絡釣魚活動使用LinkedIn誘餌時，觀察到了被追蹤為Lazarus Group的朝鮮黑客。

這不是Lazarus黑客(美國情報共同體和Microsoft Zinc都將其追蹤為HIDDEN COBRA)首次瞄準加密貨幣組織。

[[339311]]

聯(lián)合國(UN)安全理事會專家說，朝鮮人是在2017年至2018年期間導致5.71億美元損失的加密貨幣搶劫案的背后，美國財政部后來批準了三個朝鮮民主主義人民共和國資助和出于經(jīng)濟動機的黑客組織(拉撒路，安達里爾和Bluenoroff)。

美國陸軍上個月的一份報告估計，朝鮮的黑客總數(shù)超過6,000，其中許多來自其他國家，包括俄羅斯和印度。

今年初，3月，作為單筆加密貨幣交易黑客攻擊的一部分，拉薩魯斯集團(Lazarus Group)在2018年盜竊的大約2.5億美元中，有兩名中國公民被美國指控洗劫了價值超過1億美元的加密貨幣。

LinkedIn網(wǎng)上誘騙針對加密貨幣公司的系統(tǒng)管理員

今天，F(xiàn)-Secure Labs的安全研究人員表示，他們將針對網(wǎng)絡釣魚的攻擊歸因于與Lazarus Group垂直的加密貨幣組織。

盡管威脅行為者顯然已努力消除其攻擊的任何暗示-包括禁用反惡意軟件解決方案并從受損設備中移除了它們的惡意植入物，但F-Secure發(fā)現(xiàn)了Lazarus活動的跡象，因此有可能這樣做。

研究人員發(fā)現(xiàn)：“除了一臺主機外，所有主機都在入侵過程中關閉，因此無法訪問，Lazarus Group能夠安全地刪除他們使用的任何惡意軟件的痕跡以及大量法醫(yī)證據(jù)，”研究人員發(fā)現(xiàn)。

F-Secure能夠根據(jù)被感染系統(tǒng)上留下的惡意植入物歸因于攻擊，并在拉撒路行動后由研究人員收集(與該組織先前使用的工具相同)以及北部使用的戰(zhàn)術，技術和程序(TTP)韓國黑客的早期行動。

F-Secure今天早些時候表示：“基于從Lazarus Group攻擊中回收的網(wǎng)絡釣魚文物，F(xiàn)-Secure的研究人員能夠將事件與至少自2018年1月以來一直在進行的更廣泛的持續(xù)活動聯(lián)系起來?！?/p>

“ [S]類似的人工制品已用于至少14個國家/地區(qū)的運動中：美國，中國，英國，加拿大，德國，俄羅斯，韓國，阿根廷，新加坡，中國香港，荷蘭，愛沙尼亞，日本和菲律賓人?！?/p>

感染鏈

Lazarus Group引誘文件

正在進行的網(wǎng)絡釣魚活動

黑客使用了偽造成通用數(shù)據(jù)保護法規(guī)(GDPR)保護文件的惡意制作的Word文檔，該文檔要求目標設備使內(nèi)容能夠訪問其余信息。

但是，在啟用內(nèi)容之后，該文檔執(zhí)行了惡意嵌入的宏代碼，該宏代碼連接到bit.ly鏈接(自2019年5月初以來已從多個國家訪問了數(shù)十次)，并在首先收集并向攻擊者的系統(tǒng)信息泄露后部署了最終的惡意軟件有效載荷。命令和控制服務器。

這些惡意植入程序具有多種功能，允許Lazarus黑客“下載其他文件，解壓縮內(nèi)存中的數(shù)據(jù)，啟動C2通信，執(zhí)行任意命令以及從多個來源竊取憑據(jù)”。

F-Secure還觀察了Lazarus Group，同時在受感染的設備上禁用憑據(jù)保護以使用開源Mimikatz后利用工具從內(nèi)存中捕獲憑據(jù)。

研究人員總結說：“拉撒路集團的活動是持續(xù)的威脅：與這種攻擊有關的網(wǎng)絡釣魚活動一直持續(xù)到2020年，這提高了在目標垂直市場運營的組織的意識和持續(xù)的警惕性。”

“根據(jù)F-Secure的評估，該組織將繼續(xù)以加密貨幣垂直領域為目標，同時仍將保持這種獲利的追求，但也可能擴展至垂直貨幣領域的供應鏈要素，以提高活動的回報和壽命?！?/p>