关键信息
Lazarus集团设立假冒美国公司,针对加密行业开发者进行恶意软件攻击。
这一行动代表了朝鲜在为其资金筹集而针对加密领域的努力的演变。
根据路透社的一份新报告,朝鲜的Lazarus集团通过其子单位创建了假冒的美国注册公司,作为一项钓鱼攻击加密开发者并窃取其钱包的活动的一部分。
这些公司Blocknovas LLC和Softglide LLC在新墨西哥州和纽约州注册,使用假名和地址。据报道,另一个实体Angeloper Agency与此操作有关,但它并未在美国注册。
计划
该计划涉及创建假公司,建立可信的在线形象,并发布针对开发者的招聘信息。
黑客们使用虚假身份、捏造地址,以及像LinkedIn和Upwork这样的真实平台,使自己看起来合法并吸引开发者。一旦申请者选择参与,他们会经历假面试,并被指示下载测试作业或软件。
这些文件包含恶意软件,一旦执行,攻击者就可以访问受害者的系统,从而提取密码、加密钱包密钥和其他敏感数据。
说俄语的团体在早期活动中使用几乎相同的战术
在二月份,BleepingComputer报道了一个名为Crazy Evil的说俄语的网络犯罪团体,已经在针对加密和web3求职者的骗局中采用了类似的战术。
Crazy Evil的一个子团体创建了一家名为ChainSeeker.io的假公司,在LinkedIn等平台上发布虚假招聘信息。申请者被指示下载恶意应用程序GrassCall,该程序安装了旨在窃取凭据、加密钱包和敏感文件的恶意软件。
该行动协调良好,使用克隆网站、假资料和Telegram来分发恶意软件。
FBI确认与朝鲜的联系
Silent Push的威胁情报主任Kasey Best表示,这是已知的朝鲜黑客在美国设立合法注册公司的首个案例之一,以绕过审查并获得可信度。
Silent Push追踪到这些黑客与Lazarus集团有关,并确认该活动的多个受害者,Blocknovas被确认是他们发现的三家前线公司中最活跃的。
FBI在对利用虚假招聘信息分发恶意软件的朝鲜网络行为者的执法行动中,查封了Blocknovas的域名。
FBI官员表示,他们将继续“专注于对DPRK行为者本身以及任何促进他们进行这些计划的人施加风险和后果。”
根据FBI官员的说法,朝鲜的网络行动是该国最复杂的持续威胁之一。
朝鲜利用俄罗斯基础设施扩大攻击
根据Trend Micro的一项深入分析,为了克服国内互联网访问的限制,朝鲜的黑客组织使用国际基础设施,特别是位于哈桑和哈巴罗夫斯克的俄罗斯IP范围,这些城镇与朝鲜有直接联系。
通过使用VPN、RDP会话以及像Astrill VPN和CCProxy这样的代理服务,Lazarus的行动人员能够管理攻击,通过GitHub和Slack进行沟通,并访问Upwork和Telegram等平台。
Silent Push的研究人员发现了与BlockNovas相关的七个教学视频,作为该行动的一部分。这些视频描述了如何设置指挥和控制服务器、从浏览器窃取密码、将窃取的数据上传到Dropbox以及使用Hashtopolis等工具破解加密钱包。
从盗窃到国家赞助的间谍活动
数百名开发者受到针对,许多人在不知情的情况下暴露了他们的敏感凭据。一些泄密似乎已经升级到超出盗窃的程度,暗示Lazarus可能已将访问权限交给其他国家对齐的团队进行间谍活动。
美国、韩国和联合国官员已向路透社确认,朝鲜的黑客已在海外部署了数千名IT工作者,为平壤的核导弹计划筹集数百万资金。