在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。
& P/ c4 M( ~2 j
; _. B2 H1 G0 ? y1 t |$ j$ ]# t6 u- s/ |, f" [
2 }. g: t; v* c5 y1 rCryptAIS 网站截图
9 p' q) j* J) f- X4 G; A/ h+ P- s" m
/ q8 i5 w" t/ [1 G5 g' n6 f/ w& |几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。
! d- \6 M7 o! k# k8 H0 X/ \4 k" J0 b4 G V8 K+ ^
作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段,将黑手伸向了加密货币企业的员工。
2 i/ v- c: T! [; b! }4 `4 g! s+ z$ s7 ~# a! T) L9 M
公告提醒道:攻击者会发送具有高度针对性的欺诈(钓鱼)邮件,声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。
# f9 H. {7 x& x. S3 f% ?$ [+ |) f2 ?- z+ }- [
9 n4 m9 D$ I B5 t$ L; a
2 s' Y" J9 q5 _' y: ^
UpdateCheckSync 与 DAFOM 捆绑功能描述: N }, t; Y) w
4 }9 K |$ q9 e" K7 M6 e美政府机构将这类操作称作“叛变交易”(TraderTraitor),似乎是所谓的“梦想工作”(Dream Job)攻击事件的一个延续。
" i7 S3 A$ W* }2 @5 U; b* e3 w: I: [) M$ f8 b8 I) Z
后者在 2020 年被首次观察到,可知黑客将目光瞄向了国防、航空航天和化工行业的工作者,此类恶意应用程序会在受害者网络环境中传播。
8 D' q3 \+ t2 R$ |& }7 t% o. a
, p* D5 k9 ?- U4 ~- B3 F* v; R$ U而为了开展欺诈性区块链交易等后续活动,黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。7 S0 @1 L% j7 A7 l
}9 i {+ e' m
2 r8 v5 c* D( |3 L; n$ v
6 W/ O5 T& E: A) O' x, o9 lEsilet 中的 UpdateCheckSync 函数截图
+ {1 R) \( A' v$ X- l7 W1 S: y
; T# g( Y( Q! zCISA 披露的部分 TraderTraitor 恶意应用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,声称提供各种投资组合、以及实时的加密货币预测等服务。6 R6 ~/ Q8 B1 O$ q7 X% w8 |
; O9 Y! U S& d, A7 S
此外该公告还详细描述了攻击指标(IOC)和应对策略、技术与程序(TTP)细节,以敦促区块链和加密货币行业组织加强防御措施。2 G5 P8 W/ J; N8 m# |; l- A5 h
" O8 g: y) a2 D8 m( C最后,美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序,可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
