当前位置:安全资讯 >> 全文

贪婪的朝鲜黑客:密币和PoS终端成敛财之道

发布时间:2017-12-21 19:36 标签: 朝鲜,Lazarus,密币,PoS
分享到 0

朝鲜黑客组织正在变得贪得无厌。安全研究人员发现跟朝鲜政府存在关联的国家黑客组织 Lazarus 发动新的恶意软件活动,直勾勾地盯上密币用户。

劣迹斑斑的 Lazarus 黑客组织

Lazarus 黑客组织活跃于2009年,它被指发动多起高规格攻击,包括索尼影视入侵事件、从孟加拉国银行攫取8100万美元,以及发动 WannaCry 攻击。

美国已经公开指责朝鲜是发动全球性 WannaCry 勒索软件攻击的罪魁祸首。该攻击导致全球150多个国家几十万台计算机受感染。

这次,安全研究人员指责 Lazarus 组织从韩国交易所 Youbit 窃取价值数百万美元的比特币,导致该交易所丢失17%的资产而关闭并且申请破产。

趁比特币价格飞涨捞一笔

Proofpoint 公司的研究人员发布报告称,Lazarus 黑客组织和多起针对密币用户和 PoS 的多阶段网络攻击活动之间存在关联。报告指出,“这个组织发动的攻击活动不断受经济利益趋势,似乎正在利用人们对密币不断增长的兴趣和骤升的价格打算捞一笔。Lazarus 黑客组织的武器库、植入和利用非常多而且还在不断开发。”

研究人员分析了大量来自多起鱼叉式钓鱼攻击活动中作为不同攻击向量的鱼叉式钓鱼邮件,他们发现了一种基于 PowerShell 的新型侦察植入 PowerRatankba

PowerRatankba 使用的加密、混淆、功能、引诱物都跟 Lazarus 黑客组织所开发的原始 Ratankba 植入类似。

PowerRatankba 植入通过以下攻击向量经由大规模的邮件活动进行传播:

l  名为 PowerSpritz Windows 可执行文件下载器

l  恶意 Windows 快捷 (LNK)文件

l  多个恶意的微软 CHM 文件

l  多个 JavaScript (JS) 下载器

PowerRatankba至少有两个在野变体,它作为第一阶段的恶意软件仅向对密币感兴趣的目标公司、组织机构和个人传播功能完整的后门(在这个案例中是 Gh0st RAT)。

一旦安装,Gh0st RAT就能让网络犯罪分子窃取米币钱包和交换的凭证。

值得注意的是,PowerRatankba Gh0st RAT 并不会利用任何 0day 漏洞,但 Lazarus 黑客组织依靠混合编程实践如经由 HTTP C&C 通信、使用 Spritz 加密算法和启用 Base64 的自定义加密器。

Lazarus 黑客组织除了窃取密币外,还感染大规模部署在韩国的 SoftCamp POS 终端,通过 RatankbaPOS 恶意软件窃取信用卡数据。

由于RatankbaPOS PowerRatankba 植入共享同样的C&C 服务器,因此这两个植入被指跟 Lazarus 黑客组织之间存在关联。

密币价值的爆炸性增长激发的不仅是交易人员将所有时间和资源投入到数字财富中,黑客也在盯着这块肥肉。

研究人员在名为《朝鲜被比特币bug 咬了一口:受经济利益驱动的攻击活动披露Lazarus黑客组织的另一面》的报告中详细说明了该黑客组织的行动。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2017/12/lazarus-hacking-bitcoin.html
参与讨论,请先 登录 | 注册

用户评论