,同时在美国、英国、德国、新加坡、荷兰、日本和其他国家使用LinkedIn诱饵进行越来越多的鱼叉式网络钓鱼活动,观察到被追踪为LazarusGroup的朝鲜黑客。这不是Lazarus黑客(被美国情报界和MicrosoftZinc跟踪为HIDDENCOBRA)第一次将加密货币组织作为目标。朝鲜人是加密货币抢劫案的幕后黑手,该盗窃案在2017年至2018年期间造成5.71亿美元的损失,美国财政部后来制裁了三个由朝鲜资助且出于经济动机的黑客组织(Lazarus、Andariel和Bluenoroff)。美国陆军上个月的一份报告估计,朝鲜的黑客总数超过6,000人,其中许多来自其他国家,包括俄罗斯和印度。今年早些时候,也就是3月,两名中国公民被美国指控掠夺了LazarusGroup在2018年估计窃取的2.5亿美元中的1亿多美元,这是对单笔加密货币交易的黑客攻击的一部分。美元加密货币。LinkedIn网络钓鱼针对加密货币公司的系统管理员今天,来自F-SecureLabs的安全研究人员表示,他们将网络钓鱼攻击归因于与LazarusGroup垂直链接的加密货币组织。虽然威胁行为者显然已经努力消除任何攻击迹象——包括禁用反恶意软件解决方案并从受感染的设备中删除恶意植入——F-Secure发现了Lazarus活动的迹象,所以可能会这样做。研究人员发现:“在入侵期间,除了一台主机外,所有主机都关闭了,因此无法访问,因此LazarusGroup能够安全地删除他们使用的任何恶意软件的痕迹,以及大量的取证证据。”F-Secure能够根据留在受感染系统上并由研究人员在拉撒路行动后收集的恶意植入物(该组织之前使用的相同工具)以及韩国黑客的战术、技术和程序(TTP)早期行动来归因攻击.F-Secure今天早些时候表示:“基于从LazarusGroup攻击中恢复的网络钓鱼工件,F-Secure研究人员能够将该事件与至少从2018年1月以来一直在进行的更广泛的持续活动联系起来。“[S]类似的人工制品已在至少14个国家/地区的活动中使用:美国、中国、英国、加拿大、德国、俄罗斯、韩国、阿根廷、新加坡、香港、荷兰、爱沙尼亚、日本和菲律宾。“感染链LazarusGroup诱骗文档正在进行的网络钓鱼活动黑客使用了恶意制作的Word文档,该文档被伪造为受通用数据保护条例(GDPR)保护的文档,要求目标设备使其余信息可以访问内容。然而,当启用内容后,文档会执行连接到bit.ly链接(自2019年5月上旬以来已从多个国家访问数十次)的恶意嵌入的宏代码,并首先收集并报告给攻击者的最终系统信息泄漏后部署了恶意软件负载。命令和控制服务器。这些恶意植入物具有多种功能,允许Lazarus黑客“下载额外的文件、在内存中解压缩数据、启动C2通信、执行任意命令并从多个来源窃取凭证”。F-Secure还观察到LazarusGroup在对受感染的设备禁用凭证保护时设备使用开源Mimikatz后开发工具从内存中捕获凭据。研究人员得出结论:“LazarusGroup活动是一个持续的威胁:与此攻击相关的网络钓鱼活动一直持续到2020年,提高了运营组织的意识和警惕性在目标垂直市场。“根据F-Secure的评估,该集团将继续瞄准加密货币垂直市场,同时仍保持这种对利润的追求,但也可能扩展到垂直的供应链元素,以提高活动回报和寿命.“
