弹性安全实验室确定了一种独特的入侵恶意软件 专门针对加密货币交易所平台的区块链工程师。

这种攻击融合了欺骗策略和传统工具，可在未经授权的情况下访问计算机系统并提取敏感数据。

在对一台 Macintosh 电脑的后台活动进行调查时，首次发现了这种网络入侵工具的使用。

攻击是通过伪装成加密货币创利工具的假冒程序发起的，该程序通过 Discord 上的直接消息传播。

据信，这是一个在朝鲜民主主义人民共和国（DPRK）（即北朝鲜）活动的组织所为，它与拉扎罗斯组织（Lazarus Group）极为相似。

这是基于对与拉扎罗斯集团有关的方法、网络结构、数字证书和独特检测措施的分析。

Elastic 将这种特定形式的入侵命名为 REF7001；

拉扎罗斯集团是如何入侵交易所的？

一切开始得相当简单。

恶意行为者在一个专门讨论加密货币相关软件的 Discord 群组中伪装身份。

与大多数恶意软件一样，它们操纵不明真相的人下载一个看似无害的文件，但实际上却藏有恶意代码。

受害者以为他们正在购买一个加密货币套利机器人，该机器人能够检测交易所之间的汇率差异并从中获利。

打开该文件后，名为 "KANDYKORN "的主要攻击阶段就开始了。

要实施攻击，受害者必须运行一个程序。

为了欺骗受害者，原始程序在导入其他文件和执行看似例行的操作时，显得十分无害。

然后，用户会在不知情的情况下在运行该程序的过程中扮演重要角色，参与一些看似例行的操作，而这些操作实际上对攻击的成功至关重要。

在受害者执行该程序后，REF7001 的攻击通过五个不连续的阶段展开。

攻击的五个阶段

第 1 阶段--准备：

原始程序会悄悄运行另一个程序。这个程序将评估计算机的环境，为下一阶段的攻击做好准备。

第 2 阶段 - 加载其他恶意软件：

确定计算机环境后，另外两个作为 Python 脚本中介的文件将下载并运行一个名为 SUGARLOADER." 的程序；

第 3 阶段 - SUGARLOADER：

该计划将执行进一步的秘密行动，并为最后阶段的装载提供便利；

第 4 阶段 - 伪装成 Discord：

然后，一个名为"HLOADER/Discord(fake)"的文件会伪装成合法的 Discord 程序。这是一个诡计，目的是在受害者的系统中维持欺骗性程序"SUGARLOADER"的存在。

第 5 阶段 - "糖果玉米"；

一旦被入侵，"KANDYKORN "将拥有广泛的能力。它可以接收不连续的命令，例如从另一台电脑下载。它还能检查计算机的详细信息，向另一台计算机发送和接收信息，甚至将计算机的控制权授予另一台终端。总之，它是一个完整的漏洞。

Elastic 追溯到 2023 年 4 月。

为此，他们分析了用于确保 SUGARLOADER 和 KANDYKORN C2 通信安全的加密密钥。

这种威胁依然活跃，而且在工具和技术方面显然都在继续演变。

拉扎罗斯集团

Lazarus 是一个著名的朝鲜加密货币网络间谍组织。

它们的历史至少可以追溯到 2009 年。

由于围绕朝鲜的制裁，他们的目标是偷窃加密货币--因为使用数字货币可以帮助他们逃避这种国际制裁。

根据区块链取证公司 Chainalysis 9 月 14 日的报告，自 2016 年以来，朝鲜黑客据称已从加密货币项目中窃取了约 35 亿美元。

联合国推测，被盗资金正被用于支持朝鲜的核导弹计划。

Coinlive此前报道 关于 Lazarus 集团如何利用 LinkedIn 用恶意软件感染电脑的报道。