朝鲜支持的针对Windows和macOS系统的黑客攻击活动已使用新技术和工具进行了更新,它试图从世界各地的组织和个人那里窃取加密货币。
网络盗窃活动被称为AppleJeus行动,至少自2018年以来一直在开展,并与Lazarus Group有联系,该集团是由国家资助的代表平壤的黑客行动。
尽管在2018年详细介绍了其活动,但AppleJeus仍继续进行其窃取加密货币的网络攻击,现在卡巴斯基实验室的研究人员已详细说明了黑客行动如何增强其功能。
针对全球范围内与加密货币相关的企业发起了攻击,在英国,波兰,俄罗斯和中国都存在被证实了的受害者,尽管没有人公开露面。
攻击中使用的恶意软件继续以Apple和Microsoft用户为目标,组织对这两个版本进行了调整,以提高其功能,同时还改进了交付方法。
该恶意软件还有更多版本,尤其是针对macOS的攻击。Windows有效负载也已进行了重大更改,表明大量的开发工作正在进行。
该活动的前身是依靠强迫受害者下载受感染的第三方软件,但现在的传递机制似乎是伪装成加密货币交易所和比特币钱包主机的虚假网站。与这些网站进行交互将开始下载恶意软件。
然而,虽然Lazarus Group可能有足够的资源,但研究人员指出,尽管这些假冒网站最初看上去乍一看是合法的-提及区块链,ICO和白皮书链接,但有其中迹象表明某些网站是不正确的。其中包括大量无法使用的链接以及导致无效Messenger组的联系详细信息。
即使在加密货币领域内,该活动也似乎是有针对性的,最终有效载荷仅在侦察任务检查受感染系统的信息之后才传递给选定的系统。研究人员指出,这种策略可能是逃避侦查的一种手段。
虽然众所周知Lazarus Group会开展网络间谍活动,但作为填补国库的手段,盗窃加密货币对朝鲜仍然很重要。研究人员不确定AppleJeus行动被盗了多少,但联合国报告说,朝鲜对银行和加密货币交易所的攻击已导致超过20亿美元的盗窃。
尽管加密货币市场动荡不安,但朝鲜没有迹象表明减缓了这一领域的攻击。
卡巴斯基实验室高级安全研究员Seongsu Park表示:“ AppleJeus行动表明,尽管加密货币市场停滞不前,但Lazarus会继续投资与加密货币相关的攻击,使攻击更加复杂。”
“恶意软件的进一步变化和多样化表明,没有理由相信这些攻击的数量不会增加,而会成为更严重的威胁。”
为了抵御这些攻击,卡巴斯基实验室建议与加密货币打交道的组织确保对员工进行网络钓鱼方面的培训,以便他们可以更好地区分假冒网站和其他网络钓鱼攻击。
研究人员还建议安全团队监视系统中的漏洞,并在需要时对其进行修补,并且用户应仅使用可靠且经过验证的加密货币平台。
*编译:Domino
*来自:ZDNET