网络安全公司卡巴斯基实验室 3 月 26 日发布报告称,传闻由北朝鲜撑腰的网络犯罪组织 Lazarus 再次采用新策略以盗取加密货币。
卡巴斯基表示,监控人员长期以来追踪 Lazarus 针对金融行业的活动发现,该组织自去年 11 月以来便开始积极推行新操作,使用组织开发的自定义脚本 PowerShell 来管理和控制 Windows 和 macOS 恶意软件。另外,PowerShell 脚本还能与恶意服务器 C2 进行通信,并执行操作者的命令。
为了掩人耳目,该组织更将 C2 服务器的脚本名称乔装成 WordPress 文件,以及其他热门开源项目。报告特别提到,成功获取受害服务器的控制权限后,恶意软件将提供以下操纵功能:
- 设置睡眠时间(与 C2 之间的互动延迟)
- 退出恶意软件
- 收集主机信息
- 检查恶意软件状态
- 显示当前的恶意软件配置
- 更新恶意软件配置
- 执行 system shell 命令
- 下载和上传文件
卡巴斯基指出,Lazarus 这次依旧锁定加密货币和金融科技行业的系统,并建议这些业内参与者谨慎行事:“如果你是加密货币或科技新创公司之一,且需频繁与第三方打交道或在系统上安装软件的话,切记要时刻保持谨慎。”
报告建议,安装任何新的应用程序前,最好事前使用防病毒软件扫描检查,并尝试在离线网络虚拟机上安装。
另外,若有收到来自陌生或不可信任的单位传来 Microsoft Office 文档,卡巴斯基告诫千万不要点击“Enable Content(启用内容)”,因为该文档有可能已被嵌入“宏命令”,使得某种操作得以自动运行。
卡巴斯基发现,为了吸引加密货币专业人士的注意力,Lazarus 特意将恶意软件暗藏在经过精心准备的 Microsoft Word 韩文文档中,标题为“新创公司商业计划评估文件范本”。卡巴斯基因此认定,韩国新创企业就是该组织的头号目标。
2017 年至 2018 年间,全球共发生了 14 宗线上交易所被盗事件,损失金额高达 8.8 亿美元的加密货币,当中就 5 宗事件,即 5.71 亿美元据称是 Lazarus 所为,占总金额近 65%。
外媒曾于 3 月上旬报导,从 2015 年开始,北朝鲜已通过骇客攻击积累高价值 6.7 亿美元的法定货币和加密货币,更被指利用区块链“掩盖其踪迹”。
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
