【#區(qū)塊鏈# #朝鮮黑客狂潮:保護(hù)企業(yè)數(shù)據(jù)安全迫在眉睫#】
如何防范來(lái)自朝鮮黑客的安全攻擊��?
撰文:MetaTrust Labs
2024 年 1 月 1 日�����,一場(chǎng)針對(duì) Orbit Chain 的黑客攻擊引起了全球加密貨幣界的關(guān)注����。據(jù)報(bào)道���,黑客利用 Orbit Chain 的漏洞���,竊取了價(jià)值 8150 萬(wàn)美元的加密貨幣,并將其轉(zhuǎn)移到了其他地址����。Orbit Chain 官方已經(jīng)確認(rèn)了這一事件,并表示正在與國(guó)際執(zhí)法機(jī)構(gòu)合作���,追查攻擊者的身份和動(dòng)機(jī)。一些安全專家認(rèn)為��,這次攻擊的手法和目標(biāo)與朝鮮黑客組織 Lazarus 的風(fēng)格相似����,可能是該組織的又一次網(wǎng)絡(luò)犯罪行為����。
Lazarus 是何方組織�����,他們的活動(dòng)為什么會(huì)引起國(guó)際上如此高的警惕���?該組織又是如何通過(guò)加密貨幣來(lái)繞過(guò)國(guó)際制裁和反洗錢措施的呢����?
來(lái)自朝鮮的 Lazarus 黑客組織
Lazarus 黑客組織是朝鮮官方背景的知名黑客組織�,自 2009 年以來(lái)已經(jīng)運(yùn)營(yíng)了十多年。該組織以全球范圍內(nèi)的組織為目標(biāo)而聞名����,迄今為止的行動(dòng)包括對(duì)金融機(jī)構(gòu)、媒體和政府機(jī)構(gòu)的攻擊�����。Lazarus Group 由朝鮮情報(bào)偵察總局下屬的 121 局控制�����。該組織以攻擊銀行和加密貨幣交易所聞名�,通過(guò)竊取資金和數(shù)據(jù)來(lái)獲取經(jīng)濟(jì)利益。Lazarus Group 以高規(guī)格禮遇對(duì)待程序員��,并鼓勵(lì)有計(jì)算機(jī)天賦的人加入官方「黑客」行列��。
平壤自動(dòng)化大學(xué)是 Lazarus Group 黑客的重要來(lái)源之一�����。該組織已經(jīng)將自己的工作重心從政治攻擊轉(zhuǎn)移至經(jīng)濟(jì)攻擊���,專注于攻擊加密貨幣世界���。他們的活動(dòng)還涉及針對(duì)安全研究人員、在開(kāi)源加密貨幣平臺(tái)中嵌入惡意代碼�、執(zhí)行大規(guī)模加密貨幣搶劫以及利用虛假工作面試來(lái)傳播惡意軟件。這些黑客組織通過(guò)非法手段獲得的資金會(huì)經(jīng)歷傳統(tǒng)網(wǎng)絡(luò)犯罪集團(tuán)所采用的典型洗錢流程���,被竊取的加密貨幣經(jīng)常被轉(zhuǎn)換為法定貨幣��,用來(lái)逃避反洗錢措施���。
韓國(guó)、美國(guó)和日本一直對(duì)朝鮮黑客組織的活動(dòng)保持高度警惕�����。據(jù)報(bào)道�,朝鮮黑客組織在過(guò)去幾年中成功竊取了價(jià)值 30 億美元的加密貨幣資金,這些資金被用于支持朝鮮的核彈和彈道導(dǎo)彈計(jì)劃�。美國(guó)、韓國(guó)和日本的安全顧問(wèn)們?cè)谑谞枙?huì)晤����,商討了如何應(yīng)對(duì)朝鮮在網(wǎng)絡(luò)空間的風(fēng)險(xiǎn),并宣布了新的三邊合作倡議��,重點(diǎn)解決朝鮮進(jìn)行的網(wǎng)絡(luò)犯罪和加密貨幣洗錢活動(dòng)�����。此次會(huì)議是在朝鮮半島局勢(shì)緊張升級(jí)的時(shí)刻召開(kāi)的�����,朝鮮加快了核武器和導(dǎo)彈計(jì)劃的擴(kuò)張�,并公開(kāi)展示了核武器先發(fā)制人使用的態(tài)度��。
Lazarus 黑客組織的攻擊手段和目標(biāo)多種多樣�����,從針對(duì)金融機(jī)構(gòu)的 SWIFT 網(wǎng)絡(luò)攻擊到更廣泛的加密貨幣搶劫�����,都表現(xiàn)出該組織的高度技術(shù)能力和威脅性��。然而�,對(duì)于這些攻擊的防范措施卻相對(duì)較少��。自 2018 年以來(lái)���,朝鮮黑客已經(jīng)竊取了約 20 億美元的虛擬貨幣�。僅在 2023 年��,他們就盜取了大約 2 億美元的加密貨幣����,占當(dāng)年被盜資金的 20%。這些黑客的存在對(duì)虛擬貨幣生態(tài)系統(tǒng)構(gòu)成持續(xù)威脅,并且他們的網(wǎng)絡(luò)攻擊方法日益演變和復(fù)雜化���。
朝鮮黑客組織的活動(dòng)規(guī)模超過(guò)其他惡意行為者的 10 倍����,并且他們還針對(duì)去中心化金融生態(tài)系統(tǒng)進(jìn)行攻擊�����。他們使用各種方法進(jìn)行網(wǎng)絡(luò)攻擊���,包括網(wǎng)絡(luò)釣魚(yú)、供應(yīng)鏈攻擊和其他形式的黑客手段��。因此���,企業(yè)和個(gè)人用戶需要加強(qiáng)網(wǎng)絡(luò)安全措施����,定期更新軟件����、強(qiáng)化密碼策略,并提高對(duì)網(wǎng)絡(luò)安全的重視程度。同時(shí)��,監(jiān)管機(jī)構(gòu)也需要加強(qiáng)監(jiān)管力度�����,制定更加嚴(yán)格的法律法規(guī)來(lái)遏制這種網(wǎng)絡(luò)犯罪行為���。
攻擊案例一:Lazarus 利用 Log4Shell 漏洞進(jìn)行 Blacksmith 鐵匠行動(dòng)
攻擊過(guò)程與手段:
1��、利用 Log4Shell 漏洞:Lazarus 首先利用 Log4Shell 漏洞���,這是一個(gè)在 Log4j 日志庫(kù)中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行缺陷。由于該漏洞在兩年前被發(fā)現(xiàn)并修復(fù)�����,但許多系統(tǒng)可能仍然存在未修補(bǔ)的版本��,為 Lazarus 提供了進(jìn)入的入口���。
2����、代理工具部署:一旦獲得初始訪問(wèn)權(quán)限,Lazarus 設(shè)置了一個(gè)代理工具����,該工具用于在受攻擊的服務(wù)器上進(jìn)行持久訪問(wèn)。此工具允許他們運(yùn)行偵察命令�����、創(chuàng)建新的管理員帳戶���,并部署其他憑據(jù)竊取工具。
3�����、NineRAT 部署:在第二階段�,Lazarus 在系統(tǒng)上部署了 NineRAT 惡意軟件。NineRAT 是一個(gè)遠(yuǎn)程訪問(wèn)木馬���,可以收集系統(tǒng)信息��、升級(jí)到新版本�����、停止執(zhí)行�、自行卸載以及從受感染的計(jì)算機(jī)上傳文件。它還包含一個(gè)釋放器��,負(fù)責(zé)建立持久性并啟動(dòng)主要的二進(jìn)制文件����。
4、DLRAT 與 BottomLoader 使用:Lazarus 還使用了 DLRAT 和 BottomLoader�。DLRAT 是一種特洛伊木馬和下載程序,允許 Lazarus 在受感染的系統(tǒng)上引入額外的有效負(fù)載�����。BottomLoader 則是一個(gè)惡意軟件下載程序����,可以從硬編碼 URL 獲取并執(zhí)行有效負(fù)載。
5����、憑證竊取與持久化:利用 ProcDump 和 MimiKatz 等工具進(jìn)行憑證轉(zhuǎn)儲(chǔ),以獲取更多的系統(tǒng)信息����。同時(shí)����,通過(guò)在系統(tǒng)的啟動(dòng)目錄中創(chuàng)建 URL 文件��,實(shí)現(xiàn)了新版本或其刪除的有效負(fù)載的持久性���。
參考鏈接:
https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html
https://nvd.nist.gov/vuln/detail/cve-2021-44228
攻擊案例二:Lazarus 黑客組織利用 MagicLine4NX 軟件進(jìn)行供應(yīng)鏈攻擊
攻擊過(guò)程:
1�����、水坑漏洞攻擊:Lazarus 黑客組織潛入特定用戶經(jīng)常訪問(wèn)的網(wǎng)站��,并在其中嵌入惡意的腳本。當(dāng)使用 MagicLine4NX 身份驗(yàn)證軟件的用戶訪問(wèn)這些網(wǎng)站時(shí)��,嵌入的代碼就會(huì)執(zhí)行����,黑客就能完全控制該系統(tǒng)。
2��、利用系統(tǒng)漏洞傳播惡意代碼:黑客利用 MagicLine4NX 軟件中的零日漏洞����,使連接網(wǎng)絡(luò)的個(gè)人電腦訪問(wèn)他們的互聯(lián)網(wǎng)服務(wù)器�。然后��,他們通過(guò)數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務(wù)端服務(wù)器�。
3、嘗試數(shù)據(jù)轉(zhuǎn)移:惡意軟件試圖與兩臺(tái) C2 服務(wù)器建立連接�����,其中一臺(tái)是網(wǎng)絡(luò)系統(tǒng)內(nèi)的網(wǎng)關(guān)��,另一臺(tái)位于互聯(lián)網(wǎng)外部�。如果連接成功,大量的內(nèi)部網(wǎng)絡(luò)信息可能會(huì)被泄露���。
技術(shù)手段:
1�、零日漏洞利用:黑客利用 MagicLine4NX 軟件中的零日漏洞���,這是一種尚未被公開(kāi)的漏洞����,使得他們能夠未經(jīng)授權(quán)地訪問(wèn)目標(biāo)系統(tǒng)��。
2��、供應(yīng)鏈攻擊:通過(guò)利用供應(yīng)鏈中的漏洞,黑客能夠繞過(guò)正常的安全措施�����,直接攻擊目標(biāo)系統(tǒng)��。
3���、數(shù)據(jù)同步與 C2 服務(wù)器連接:黑客利用數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務(wù)端服務(wù)器���,并試圖與外部的 C2 服務(wù)器建立連接,以便進(jìn)一步控制和竊取數(shù)據(jù)���。
參考鏈接:
https://www.zerofox.com/advisories/22471/
https://nvd.nist.gov/vuln/detail/CVE-2023-45797
攻擊案例三:針對(duì)加密貨幣的攻擊
目標(biāo):加密貨幣交易所�、錢包�����、去中心化金融(DeFi)生態(tài)系統(tǒng)
攻擊時(shí)間:自 2018 年以來(lái)�,尤其是 2023 年
攻擊過(guò)程與技術(shù)手段:
1����、利用漏洞和被泄露的私鑰:朝鮮黑客利用被泄露的私鑰或種子短語(yǔ)的網(wǎng)絡(luò)釣魚(yú)和供應(yīng)鏈攻擊來(lái)入侵目標(biāo)�����。
2�����、跨鏈攻擊:他們特別針對(duì)跨鏈橋梁���,如 Axie Infinity Ronin Bridge,以竊取大量虛擬貨幣���。
多階段洗錢過(guò)程:朝鮮黑客在過(guò)去已經(jīng)使用過(guò)復(fù)雜的「多階段洗錢過(guò)程」來(lái)混淆資金的來(lái)源和去向��。他們將盜取的虛擬貨幣先轉(zhuǎn)換為不同的代幣���,再通過(guò)自動(dòng)程序、混合器和跨鏈交換等方式進(jìn)行多次的混合和交換����,以增加追蹤的難度。
3�����、利用去中心化交易所:他們將盜取的虛擬貨幣通過(guò)去中心化交易所換成以太幣,然后再進(jìn)行多次的混合和交換�����。
綜合以上案例�����,攻擊者可以竊取敏感數(shù)據(jù)���,包括機(jī)密業(yè)務(wù)信息��、客戶數(shù)據(jù)和個(gè)人身份信息���,導(dǎo)致隱私泄露和潛在的法律后果。由于黑客能夠完全控制目標(biāo)系統(tǒng)�,他們可能獲取到大量的敏感信息,包括企業(yè)的內(nèi)部數(shù)據(jù)�����、客戶資料等����。Lazarus 的黑客行動(dòng)不僅導(dǎo)致受害組織的數(shù)據(jù)泄露和系統(tǒng)損害,還可能對(duì)受害者的業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響�。
這些攻擊通常涉及復(fù)雜的供應(yīng)鏈攻擊,使得防范和檢測(cè)變得更為困難��。攻擊可能導(dǎo)致金融損失���,包括惡意軟件清除���、數(shù)據(jù)恢復(fù)和系統(tǒng)修復(fù)的成本,以及業(yè)務(wù)中斷造成的收入損失��。黑客的攻擊導(dǎo)致了大量的虛擬貨幣被盜����,這不僅對(duì)受害者造成了經(jīng)濟(jì)損失,還可能暴露他們的個(gè)人信息和交易數(shù)據(jù)�。針對(duì)跨鏈橋梁的攻擊可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓,影響交易的正常進(jìn)行���。
為了應(yīng)對(duì)這樣的安全威脅�����,建議組織可以采取以下防范措施
1�����、及時(shí)修補(bǔ)漏洞:確保及時(shí)應(yīng)用安全補(bǔ)丁以修復(fù)已知漏洞�。特別是在供應(yīng)鏈中使用的軟件和組件,通過(guò) MetaScan 的自動(dòng)化審計(jì)功能�����,可以及時(shí)發(fā)現(xiàn)并修補(bǔ)可能存在的漏洞�。
2、強(qiáng)化供應(yīng)鏈安全:與供應(yīng)鏈合作伙伴建立安全合作關(guān)系��,對(duì)軟件和組件進(jìn)行審查和驗(yàn)證����,確保供應(yīng)鏈中的各個(gè)環(huán)節(jié)都不受黑客攻擊。借助 MetaScout 的監(jiān)控功能��,可以動(dòng)態(tài)更新黑名單�,阻斷來(lái)自潛在朝鮮黑客地址的攻擊。
3�����、安全意識(shí)培訓(xùn):加強(qiáng)員工的安全意識(shí)培訓(xùn)。教育員工警惕水坑攻擊����、惡意腳本和供應(yīng)鏈安全的重要性����,以減少人為因素對(duì)安全的影響。Scantist 的 DevSecOps 解決方案可以為組織提供一站式的安全培訓(xùn)和指導(dǎo)�。
4、網(wǎng)絡(luò)流量監(jiān)測(cè):實(shí)施網(wǎng)絡(luò)流量監(jiān)測(cè)和入侵檢測(cè)系統(tǒng)(IDS/IPS)�,及時(shí)發(fā)現(xiàn)異常活動(dòng)和攻擊行為����。MetaScout 的攻擊阻斷機(jī)制可以結(jié)合網(wǎng)絡(luò)流量監(jiān)測(cè),及時(shí)識(shí)別并阻止黑客攻擊交易�����。
5�、多層防御:采用多層防御措施,包括防火墻��、入侵檢測(cè)系統(tǒng)�、反病毒軟件等,以提高系統(tǒng)的安全性。MetaScan 的 Prover 功能可以與現(xiàn)有的安全工具和措施配合使用����,形成更全面的防御體系。
6��、持續(xù)監(jiān)測(cè)和響應(yīng):建立安全監(jiān)測(cè)和響應(yīng)機(jī)制���,通過(guò)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)活動(dòng)�,及時(shí)發(fā)現(xiàn)異常行為并采取適當(dāng)?shù)捻憫?yīng)措施���,以最大限度地減少攻擊造成的損失���。Scantist 的組件分析功能可以持續(xù)監(jiān)測(cè)軟件供應(yīng)鏈中的漏洞,并及時(shí)攔截有問(wèn)題的開(kāi)源和第三方組件�。
7、加強(qiáng)加密貨幣交易所和錢包的安全措施:加密貨幣交易所和錢包應(yīng)加強(qiáng)其安全措施�,如使用強(qiáng)密碼、定期更換私鑰����、實(shí)施多層安全策略等。MetaScout 的阻斷機(jī)制可為加密貨幣交易所提供基于動(dòng)態(tài)黑名單的攻擊阻斷保護(hù)�����,確保用戶的數(shù)字資產(chǎn)安全。
8���、定期審計(jì)與檢查:組織應(yīng)定期對(duì)系統(tǒng)進(jìn)行安全審計(jì)和檢查��,以確保沒(méi)有潛在的安全漏洞。MetaScan 的自動(dòng)化審計(jì)功能可幫助組織進(jìn)行全面的安全評(píng)估�����,并及時(shí)發(fā)現(xiàn)潛在的漏洞和風(fēng)險(xiǎn)����。
9、提高公眾意識(shí):教育公眾關(guān)于網(wǎng)絡(luò)安全的重要性����,讓他們了解如何保護(hù)自己的數(shù)字資產(chǎn)。組織可以通過(guò)宣傳活動(dòng)�����、社交媒體等渠道提高公眾對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)���,并提供相關(guān)的安全建議和指導(dǎo)���。
需要注意的是����,安全威脅和防范建議應(yīng)根據(jù)實(shí)際情況和最新的安全情報(bào)進(jìn)行評(píng)估和定制��。此外�,定期備份和恢復(fù)數(shù)據(jù)、使用強(qiáng)密碼和多因素身份驗(yàn)證�、限制特權(quán)訪問(wèn)等也是提高安全性的有效措施。
