据某网络安全专家警告称,朝鲜黑客组织"Lazarus Group"可能将美国比特币 ETF 作为新的攻击目标。美国 ETF 目前持有价值 521 亿美元的比特币,这对黑客来说是一个诱人的目标。
别的黑客你可能不知道,但Lazarus 你一定要了解一下。Lazarus ,中文翻译:拉撒路,这是一个圣经里面的人物,是耶稣的好朋友,病死了被耶稣复活。
据某机构调查,2017 年至 2024 年间发生的 97 起疑似朝鲜黑客针对加密货币公司的网络攻击,价值约 36 亿美元。其中包括2023年年底的一次攻击,HTX 加密货币交易所的 1.475 亿美元被盗,在今年 3 月完成洗钱。
在网络安全领域,Lazarus长期以来一直被指控进行大规模的网络攻击和金融犯罪。他们的目标不仅限于特定行业或地区,而是遍布全球,从银行系统到加密货币交易所,从政府机构到私人企业。
那么这期我们就来讲讲臭名昭著的黑客组织——Lazarus Group。
1.Kucoin被盗案
Lazarus最被我们币圈熟悉的案子,可能要数Kucoin被盗案。Kucoin被盗接近3亿美金,是2020年全年最大的加密货币被盗案,占到全年被盗金额的一半。据联合国的调查显示,这个案子就是Lazarus所为。我们来简单回顾一下整个事件。
9 月 26 日凌晨 2 点 51 分,加密货币交易所 KuCoin 收到数据库风险警报;
3 点 01 分,KuCoin 收到风控系统余额监控的警报;
3 点 04 分,KuCoin 收到风控系统 XPR 转出异常警报;
3 点 05 分,KuCoin 收到热钱包余额不足的警报;
3 点 10 分,KuCoin 收到 BPC 异常;
3 点 05~14 分,KuCoin 陆续收到其他 Token 警报;
3 点 15 分,KuCoin 建立紧急沟通小组,开始排查行为逻辑;
3 点 20 分,KuCoin 运维关闭钱包服务器,关闭后依然发生异常, 此时定位到私钥被泄露;
4 点,KuCoin 货币应急小组到位;
4 点 20 分,KuCoin 钱包团队转移剩余资金到冷钱包;
4 点 25 分,KuCoin 开始更新修复程序;
4 点 50 分,KuCoin 热钱包资金完成转移到冷钱包,开始与客户进行解决方案沟通;
5 点,KuCoin 初步定位到原因,联系各大交易所封锁涉黑交易地址。同时进行了多国的报警,随后发布悬赏,黑客地址随后公布。
对于Kucoin的用户来说,所受的影响仅仅是一周不能提币,因为他们的币为了安全起见大部分都转到冷钱包去了。而少部分未能追回的币,则由Kucoin承担了损失。这次被盗事件,是Lazarus作案这么多件,被追回损失最多的案子。
2.传染性面试
Lazarus通过假扮为LinkedIn、Upwork和Moonlight等求职平台上的合法招聘人员,诱骗求职者下载包含BeaverTail恶意软件的文件。BeaverTail能够窃取凭证、加密货币钱包数据和浏览器信息。
2023年11月,检测到的BeaverTail是一种基于JavaScript的恶意软件,主要针对Windows系统。
2024年8月,研究人员发现了一个名为FCCCall的虚假视频会议应用程序,该应用程序使用Qt6框架开发,能够跨macOS和Windows进行编译。该应用程序通过加载合法URL并要求用户输入会议访问代码,伪装成合法软件,同时在后台运行恶意进程,分发BeaverTail恶意软件。
然而Lazarus的恶意活动不仅限于求职骗局,还扩展到GitHub和GitLab等平台上的游戏存储库。通过在游戏项目中注入恶意JavaScript代码,特别是使用Create React App或Create Next App构建的项目,Lazarus进一步扩大了其攻击范围。该组织还采用混淆技术隐藏恶意代码,使得网络安全工具和研究人员更难检测到。
InvisibleFerret是Lazarus工具包中的关键组成部分,这是一种基于Python的后门,具有远程控制、键盘记录和数据盗窃等功能。最近几个月,InvisibleFerret进行了多次更新,现在采用更复杂的加密方法以逃避检测。该恶意软件能够通过FTP服务器和Telegram上传被盗数据,进一步增强了Lazarus的数据外传能力。
3.小结
在 Lazarus连续、大规模的攻击下,Web3 行业面临着较大的安全挑战。在加密世界的黑暗森林里,隐藏的危险防不胜防,不管是用户还是项目方都需要提高警惕、做好充分的安全防备。
如果这篇文章对你有帮助的话,记得点赞转发,关注我们下期见!
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负!DYOR!
