朝鲜黑客组织正在变得贪得无厌。安全研究人员发现跟朝鲜政府存在关联的国家黑客组织 Lazarus 发动新的恶意软件活动,直勾勾地盯上密币用户。
劣迹斑斑的 Lazarus 黑客组织
Lazarus 黑客组织活跃于2009年,它被指发动多起高规格攻击,包括索尼影视入侵事件、从孟加拉国银行攫取8100万美元,以及发动 WannaCry 攻击。
美国已经公开指责朝鲜是发动全球性 WannaCry 勒索软件攻击的罪魁祸首。该攻击导致全球150多个国家几十万台计算机受感染。
这次,安全研究人员指责 Lazarus 组织从韩国交易所 Youbit 窃取价值数百万美元的比特币,导致该交易所丢失17%的资产而关闭并且申请破产。
韩国加密货币交易所Youbit在不到八个月的时间内两度遭黑客攻击,并于不久前宣布破产。
Youbit在此次网络攻击中损失了17%的资产。
今年四月的时候,Youbit(当时名为Yapizon)遭受黑客攻击,损失了4000个比特币,如今价值7300万美元。
调查这起事件的韩国互联网和安全局官员Kisa说,他们已经就黑客如何进入交易所核心系统展开调查。
Kisa指责朝鲜的网络间谍对Youbit发动攻击。同样,最近对Bithumb和Coinis交易所的攻击,也被归咎于朝鲜。
目前还没有人为此次攻击负责。
Youbit在一份声明中表示,客户将拿回他们资产的75%。
Youbit后续补充说,黑客并没有窃取所有的加密货币,因为很多货币都存在一个“冷钱包”里——一个用来存放那些没有被交易的资产的安全存储库。
Youbit是韩国活跃的小型交易所之一。而比特币的大部分交易是在Bithumb交易所完成的,该交易所占据70%的市场份额。
越来越多的网络犯罪分子试图通过比特币等虚拟货币的繁荣获利。许多人利用恶意软件,试图让受害者的计算机来挖掘密币。也有黑客攻击交易所和其他加密货币服务公司,以便立刻获得大量的比特币。
本月早些时候,黑客从斯洛文尼亚的一家密币交易所NiceHash窃取了超过8000万美元的比特币。
趁比特币价格飞涨捞一笔
Proofpoint 公司的研究人员发布报告称,Lazarus 黑客组织和多起针对密币用户和 PoS 的多阶段网络攻击活动之间存在关联。报告指出,“这个组织发动的攻击活动不断受经济利益趋势,似乎正在利用人们对密币不断增长的兴趣和骤升的价格打算捞一笔。Lazarus 黑客组织的武器库、植入和利用非常多而且还在不断开发。”
研究人员分析了大量来自多起鱼叉式钓鱼攻击活动中作为不同攻击向量的鱼叉式钓鱼邮件,他们发现了一种基于 PowerShell 的新型侦察植入 PowerRatankba。
PowerRatankba 使用的加密、混淆、功能、引诱物都跟 Lazarus 黑客组织所开发的原始 Ratankba 植入类似。
PowerRatankba 植入通过以下攻击向量经由大规模的邮件活动进行传播:
- 名为 “PowerSpritz” 的 Windows 可执行文件下载器
- 恶意 Windows 快捷 (LNK)文件
- 多个恶意的微软 CHM 文件
- 多个 JavaScript (JS) 下载器
PowerRatankba至少有两个在野变体,它作为第一阶段的恶意软件仅向对密币感兴趣的目标公司、组织机构和个人传播功能完整的后门(在这个案例中是 Gh0st RAT)。
一旦安装,Gh0st RAT就能让网络犯罪分子窃取米币钱包和交换的凭证。
值得注意的是,PowerRatankba 和 Gh0st RAT 并不会利用任何 0day 漏洞,但 Lazarus 黑客组织依靠混合编程实践如经由 HTTP 的C&C 通信、使用 Spritz 加密算法和启用 Base64 的自定义加密器。
Lazarus 黑客组织除了窃取密币外,还感染大规模部署在韩国的 SoftCamp POS 终端,通过 RatankbaPOS 恶意软件窃取信用卡数据。
由于RatankbaPOS 和 PowerRatankba 植入共享同样的C&C 服务器,因此这两个植入被指跟 Lazarus 黑客组织之间存在关联。
密币价值的爆炸性增长激发的不仅是交易人员将所有时间和资源投入到数字财富中,黑客也在盯着这块肥肉。
研究人员在名为《朝鲜被比特币 bug 咬了一口:受经济利益驱动的攻击活动披露Lazarus 黑客组织的另一面》的报告中详细说明了该黑客组织的行动。