在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。+ H+ S) P- W" s# T
& _& f+ X3 P& V; u/ Q# S
; V# ]7 }7 Z* j: K& W! N$ u. I. p1 ^1 e2 u
CryptAIS 网站截图! D4 U- Y. V+ v0 \+ B B
# v- D( I; F( Z+ }! I( J/ _
几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。) o4 l8 Y6 o, B) H1 z
+ F9 B6 a0 O5 N% Y0 v
作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段,将黑手伸向了加密货币企业的员工。
$ A% V8 j$ u' A; Y( k/ {! n
% {- n: T" s2 E2 M% Q+ n1 n" R: R/ p公告提醒道:攻击者会发送具有高度针对性的欺诈(钓鱼)邮件,声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。
/ U m! j4 ~4 S- Z9 V
% G+ M8 P, A u) x
7 Z. [6 `' a* W5 G$ p- {% y1 {) _: I/ {) E
UpdateCheckSync 与 DAFOM 捆绑功能描述& M. K( K3 G; F. Z g
+ n* X1 i- O. x$ l+ I; O5 H% G美政府机构将这类操作称作“叛变交易”(TraderTraitor),似乎是所谓的“梦想工作”(Dream Job)攻击事件的一个延续。1 |* A& i6 x0 T) S3 D: R) v
% V. ]9 t3 q7 X8 G: L7 ~* v5 N后者在 2020 年被首次观察到,可知黑客将目光瞄向了国防、航空航天和化工行业的工作者,此类恶意应用程序会在受害者网络环境中传播。
: f& ^4 X, x2 D& C/ {/ x. I3 b* g K
而为了开展欺诈性区块链交易等后续活动,黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。* ?8 {. p. o4 B
9 x( Z6 V8 A( ?
' v1 B" q3 O7 H) s. H1 _$ g5 T8 j) i9 B# _
Esilet 中的 UpdateCheckSync 函数截图3 p% W$ ]0 g( C2 q; F+ X
3 h# D7 ~# I+ |% iCISA 披露的部分 TraderTraitor 恶意应用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,声称提供各种投资组合、以及实时的加密货币预测等服务。
! W& @2 j" n+ b/ ~. j
. {+ H$ u" H# z# q& v/ [此外该公告还详细描述了攻击指标(IOC)和应对策略、技术与程序(TTP)细节,以敦促区块链和加密货币行业组织加强防御措施。
' u( ]1 H5 Z" e4 v; K
" z' B3 ]2 ?# Z5 c最后,美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序,可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡