在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。& Y6 `8 U) m2 z8 c c
, @) g, O) d' N6 _! b
0 t! [8 Q5 m- H! T. @5 g3 I( I9 } q, P! d/ Y: f( o0 m) k. L
CryptAIS 网站截图
3 j$ l/ U. f. ~/ u: e7 Z" g' v& F# r7 l
几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。
( @$ d* R+ N! ~ Y! |8 h8 q7 p# K4 W( t
作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段,将黑手伸向了加密货币企业的员工。2 `0 ?5 T1 y6 K! {9 o/ B8 i
& [# B. {, f& T9 A, @1 ]; U4 s公告提醒道:攻击者会发送具有高度针对性的欺诈(钓鱼)邮件,声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。2 j; `; h% e8 W2 d' s2 I$ p
" X" X$ \5 [/ o- t5 z, L# Q6 @
% T( B; n# r. B3 r% k) D2 b: w4 U% I
UpdateCheckSync 与 DAFOM 捆绑功能描述0 Q, r$ r& x6 y% W; x
7 O. G- D( }+ H) y
美政府机构将这类操作称作“叛变交易”(TraderTraitor),似乎是所谓的“梦想工作”(Dream Job)攻击事件的一个延续。6 U" }! J) C: B5 a$ p6 T
1 b: R& ?) x% o* s o t- R后者在 2020 年被首次观察到,可知黑客将目光瞄向了国防、航空航天和化工行业的工作者,此类恶意应用程序会在受害者网络环境中传播。0 i4 u- x+ T( b, Y
; f8 p! y1 d! X2 r7 f( x% G
而为了开展欺诈性区块链交易等后续活动,黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。( T8 }& ]: ^! Y& `0 s+ V) a
0 r8 W; r' ]; k7 N1 r, W
# b2 J3 d4 z* b! F: O: C7 |- w, w2 z! k9 e0 V, ^
Esilet 中的 UpdateCheckSync 函数截图
% n$ y; L3 K3 `1 K+ D$ u) i$ f2 L9 C" L% S9 Q& O/ U8 P8 q
CISA 披露的部分 TraderTraitor 恶意应用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,声称提供各种投资组合、以及实时的加密货币预测等服务。
* L; U, N! v# Z1 ]" s' W c2 G$ Z7 q# T) G* J* i
此外该公告还详细描述了攻击指标(IOC)和应对策略、技术与程序(TTP)细节,以敦促区块链和加密货币行业组织加强防御措施。- k" X- W" X- z) H1 a8 N2 M Y
! |6 P. J8 Y2 I0 i6 I# D: B最后,美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序,可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡