Lazarus(拉撒路)APT组织,多年来一直是这个行业里的明星,该组织不光情报收集的活干得漂亮,网络盗窃的战果也可以说偷遍天下无敌手。对该组织的OKR管理更是谜一般的存在,什么样的巨佬用什么样的手段能保证这支队伍不断创造奇迹呢?
战果辉煌的Lazarus(拉撒路)APT组织
2015年,因索尼影业拍了一部东北亚某国很不喜欢的电影,索尼影业遭到空前的黑客攻击,大量机密文件泄露,系统瘫痪数周。回头看这场攻击活动,日本高科技企业被东北亚某国黑客组织打得毫无还手之力。
——那个时候,勒索软件还远未流行,引领全球的Wannacry勒索蠕虫正是该组织2017年释放出来的。可以说,Lazarus组织开创了一个全新的时代。
2016年,世界穷的国家之一孟加拉国中央银行10亿美元被盗,幸亏美联储动作快,拦截了其中8亿美元转账,追回了转向斯里兰卡的2000万美元,8000多万美元进了菲律宾的赌场。事后查明,这事儿是Lazarus集团干的。
2022年3月,美国政府基于已有的证据,悬赏500万美元用于征集任何关于东北亚某国黑客的信息。到7月份,悬赏额翻倍,追加到1000万美元。
美国FBI将有史以来大的加密黑客攻击与黑客组织Lazarus和BlueNorOff(又名 APT38)联系起来,称他们应对从Axie Infinity的Ronin网络桥中盗窃价值6.2亿美元的以太坊负责。
过去,针对金融机构和数字货币交易所的多起网络盗窃案和网络间谍活动被归咎于东北亚某国关联的黑客组织。
2021年2月,三名Lazarus黑客团队成员在美国被指控窃取13亿美元,事件针对银行、娱乐业、加密货币公司和其他组织的攻击。
2019年,美国财政部制裁了三个东北亚某国黑客组织 (Lazarus、Bluenoroff 和 Andariel),理由是他们将在网络攻击中窃取的金融资产转移到该国政府。
同年,一份机密报告透露 ,东北亚某国黑客在针对全球银行和加密货币交易所的数十起网络攻击中窃取了大约 20亿美元。
正在针对多国能源部门的APT活动
都知道,因俄乌冲突引发的全球能源危机正在加深。上周,Cisco Talos研究人员发布报告,称Lazarus黑客正在瞄准美国能源供应商。
朝鲜 APT 组织“Lazarus”(APT38) 正在利用VMWare Horizon服务器访问美国、加拿大和日本的能源供应商的企业网络。
Cisco Talos研究人员称,Lazarus 在 2022 年 2 月至 2022 年 7 月期间针对能源组织,利用公共 VMWare Horizon漏洞进行初始访问。
他们使用了新的恶意软件系列,例如“VSingle”和“YamaBot”,以及一个以前未知的名为“MagicRAT”的远程访问木马 (RAT),用于搜索和窃取受感染设备的数据。
赛门铁克的威胁猎手在4月分析了同一活动 ,思科的报告更深入地揭示了有关攻击活动的更多细节。
Cisco Talos展示了几种攻击策略,展示了Lazarus的新技术、策略和程序 (TTP),并突出了复杂黑客组织的多功能性。
VMWare Horizon 以高权限运行,Lazarus 可以在部署 VSingle 之前通过注册表项修改、WMIC 和 PowerShell 命令停用 Windows Defender。
VSingle后门支持高级网络侦察命令,为窃取凭据做好准备,在主机上创建新的管理员用户,后与 C2 建立反向 shell 连接以获取丰富其功能的插件。
MagicRAT 可以通过执行硬编码命令建立持久性,这些命令创建所需的计划任务、帮助进行系统侦察以及从 C2 获取其他恶意软件,例如 TigerRAT。
YamaBot,是一种用Go语言编写的自定义恶意软件,具有标准 RAT 功能,例如:
列出文件和目录;
过程信息发送到 C2;
远程位置下载文件;
在端点上执行任意命令;
自行卸载。
美国政府追回被Lazarus集团盗窃的3000万美元
在区块链分析师和FBI特工的帮助下,美国政府在今年早些时候从基于代币的“play-to-earn(游戏赚钱)”游戏AxieInfinity中查获了价值3000万美元的加密货币,这些加密货币被东北亚某国专业黑客“Lazarus”窃取。
这一消息在AxieCon活动中宣布,主持人强调这是一项社区成就,是多个执法机构和私人实体大规模合作的结果。
这是东北亚某国黑客组织第一次被没收盗窃的加密货币,Chainalysis说,这不会是后一次。
该公司报告说:“Chainalysis Crypto事件响应团队在执行扣押中发挥了作用,他们利用先进的追踪技术跟踪被盗资金,并与执法部门和行业参与者联手快速冻结资金。”
没收的钱将逐渐进入Axie Infinity的金库并回到玩家社区,但游戏发行商解释说这个过程可能需要几年时间。
Chainalysis解释说,东北亚某国黑客通过以下典型的五个阶段完成洗钱过程:将被盗的以太币发送到中间钱包->使用Tornado Cash分批混合Ether->用以太币换比特币->将比特币再次混合。
美国政府把鼓吹去中心化的组织收拾的服服帖帖
美国财政部近对Tornado Cash实施的制裁迫使Lazarus对剩余三分之一的被盗资金使用替代品,使用区块链之间的桥梁来掩盖资金移动。
Chainalysis能够跟踪这种“跳链”并跟踪所有尝试的加密币交换,帮助执法机构冻结和取回部分资金。
Lazarus组织的Axie Infinity黑客攻击造成的总经济损失估计为6.2亿美元,因此追回的金额仅占该价值的5%和加密货币金额的10%。
然而,对Lazarus的打击仍然很大,因为它表明被盗的数字资产不容易转移、洗钱并终兑现为法定货币。
Chainalysis评论说,Axie Infinity的大部分被盗资金仍未在加密货币钱包中使用,攻击者也没有可靠的套现选择。未来几年将会有更多的资金被追回。
黑客使用Tornado Cash将被盗的以太币与其他加密货币混合,并将其全部转化为比特币,在转换为法定货币之前,该比特币被第二次清洗。
一个月前,OFAC将Tornado Cash列入黑名单,原因是它帮助黑客从Axie洗钱。三周前,该服务背后的一名开发商被荷兰当局逮捕。
一旦黑客无法再使用混币服务,朝鲜的Lazarus Group就开始利用几项DeFi服务来“链跳”——这一过程被描述为黑客在一次交易中在几种不同类型的加密货币之间切换。
桥梁在链之间移动数字资产方面发挥着重要作用,这些平台的大多数使用都是完全合法的。Lazarus组织似乎正在使用桥梁来掩盖资金来源。
据称,除了更传统的基于Tornado Cash的洗钱活动外,黑客“在多个区块链上进行了数百次类似的交易,以清洗他们从Axie Infinity窃取的资金。”从Axie Infinity窃取的大部分资金仍未在黑客控制下的加密货币钱包中使用。
今年4月,币安首席执行官赵长鹏表示,该加密货币平台冻结了Ronin Network盗窃案中的580万美元资金。
美国政府和几个研究机构一再指责拉撒路集团是过去两年对DeFi协议进行一连串攻击的大罪魁祸首。
Chainalysis的估计显示,到2022年,与朝鲜有关的团体从DeFi协议中窃取了大约10亿美元的加密货币。
去年,美国司法部宣布收回Colonial Pipeline支付给勒索软件团伙的430万美元中的绝大部分,引起了轰动。
7月,副总检察长丽莎·摩纳哥(LisaMonaco)表示,去年美国医疗机构遭到两次袭击后,司法部查获并了支付给与东北亚某国有关联的勒索软件组织的约50万美元。
参考链接:
https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-take-aim-at-us-energy-providers/
https://www.bleepingcomputer.com/news/security/us-recovers-30-million-stolen-from-axie-infinity-by-lazarus-hackers/
https://therecord.media/more-than-30-million-seized-from-north-korean-hackers-involved-in-axie-crypto-theft
标签: #美军内网扩展攻击
评论列表