如何防范來自朝鮮黑客的安全攻擊？

撰文：MetaTrust Labs

2024 年 1 月 1 日，一場針對 Orbit Chain 的黑客攻擊引起了全球加密貨幣界的關注。據(jù)報道，黑客利用 Orbit Chain 的漏洞，竊取了價值 8150 萬美元的加密貨幣，并將其轉(zhuǎn)移到了其他地址。Orbit Chain 官方已經(jīng)確認了這一事件，并表示正在與國際執(zhí)法機構合作，追查攻擊者的身份和動機。一些安全專家認為，這次攻擊的手法和目標與朝鮮黑客組織 Lazarus 的風格相似，可能是該組織的又一次網(wǎng)絡犯罪行為。

Lazarus 是何方組織，他們的活動為什么會引起國際上如此高的警惕？該組織又是如何通過加密貨幣來繞過國際制裁和反洗錢措施的呢？

來自朝鮮的 Lazarus 黑客組織

Lazarus 黑客組織是朝鮮官方背景的知名黑客組織，自 2009 年以來已經(jīng)運營了十多年。該組織以全球范圍內(nèi)的組織為目標而聞名，迄今為止的行動包括對金融機構、媒體和政府機構的攻擊。Lazarus Group 由朝鮮情報偵察總局下屬的 121 局控制。該組織以攻擊銀行和加密貨幣交易所聞名，通過竊取資金和數(shù)據(jù)來獲取經(jīng)濟利益。Lazarus Group 以高規(guī)格禮遇對待程序員，并鼓勵有計算機天賦的人加入官方「黑客」行列。

平壤自動化大學是 Lazarus Group 黑客的重要來源之一。該組織已經(jīng)將自己的工作重心從政治攻擊轉(zhuǎn)移至經(jīng)濟攻擊，專注于攻擊加密貨幣世界。他們的活動還涉及針對安全研究人員、在開源加密貨幣平臺中嵌入惡意代碼、執(zhí)行大規(guī)模加密貨幣搶劫以及利用虛假工作面試來傳播惡意軟件。這些黑客組織通過非法手段獲得的資金會經(jīng)歷傳統(tǒng)網(wǎng)絡犯罪集團所采用的典型洗錢流程，被竊取的加密貨幣經(jīng)常被轉(zhuǎn)換為法定貨幣，用來逃避反洗錢措施。

韓國、美國和日本一直對朝鮮黑客組織的活動保持高度警惕。據(jù)報道，朝鮮黑客組織在過去幾年中成功竊取了價值 30 億美元的加密貨幣資金，這些資金被用于支持朝鮮的核彈和彈道導彈計劃。美國、韓國和日本的安全顧問們在首爾會晤，商討了如何應對朝鮮在網(wǎng)絡空間的風險，并宣布了新的三邊合作倡議，重點解決朝鮮進行的網(wǎng)絡犯罪和加密貨幣洗錢活動。此次會議是在朝鮮半島局勢緊張升級的時刻召開的，朝鮮加快了核武器和導彈計劃的擴張，并公開展示了核武器先發(fā)制人使用的態(tài)度。

Lazarus 黑客組織的攻擊手段和目標多種多樣，從針對金融機構的 SWIFT 網(wǎng)絡攻擊到更廣泛的加密貨幣搶劫，都表現(xiàn)出該組織的高度技術能力和威脅性。然而，對于這些攻擊的防范措施卻相對較少。自 2018 年以來，朝鮮黑客已經(jīng)竊取了約 20 億美元的虛擬貨幣。僅在 2023 年，他們就盜取了大約 2 億美元的加密貨幣，占當年被盜資金的 20%。這些黑客的存在對虛擬貨幣生態(tài)系統(tǒng)構成持續(xù)威脅，并且他們的網(wǎng)絡攻擊方法日益演變和復雜化。

朝鮮黑客組織的活動規(guī)模超過其他惡意行為者的 10 倍，并且他們還針對去中心化金融生態(tài)系統(tǒng)進行攻擊。他們使用各種方法進行網(wǎng)絡攻擊，包括網(wǎng)絡釣魚、供應鏈攻擊和其他形式的黑客手段。因此，企業(yè)和個人用戶需要加強網(wǎng)絡安全措施，定期更新軟件、強化密碼策略，并提高對網(wǎng)絡安全的重視程度。同時，監(jiān)管機構也需要加強監(jiān)管力度，制定更加嚴格的法律法規(guī)來遏制這種網(wǎng)絡犯罪行為。

攻擊案例一：Lazarus 利用 Log4Shell 漏洞進行 Blacksmith 鐵匠行動

攻擊過程與手段：

1、利用 Log4Shell 漏洞：Lazarus 首先利用 Log4Shell 漏洞，這是一個在 Log4j 日志庫中發(fā)現(xiàn)的遠程代碼執(zhí)行缺陷。由于該漏洞在兩年前被發(fā)現(xiàn)并修復，但許多系統(tǒng)可能仍然存在未修補的版本，為 Lazarus 提供了進入的入口。

2、代理工具部署：一旦獲得初始訪問權限，Lazarus 設置了一個代理工具，該工具用于在受攻擊的服務器上進行持久訪問。此工具允許他們運行偵察命令、創(chuàng)建新的管理員帳戶，并部署其他憑據(jù)竊取工具。

3、NineRAT 部署：在第二階段，Lazarus 在系統(tǒng)上部署了 NineRAT 惡意軟件。NineRAT 是一個遠程訪問木馬，可以收集系統(tǒng)信息、升級到新版本、停止執(zhí)行、自行卸載以及從受感染的計算機上傳文件。它還包含一個釋放器，負責建立持久性并啟動主要的二進制文件。

4、DLRAT 與 BottomLoader 使用：Lazarus 還使用了 DLRAT 和 BottomLoader。DLRAT 是一種特洛伊木馬和下載程序，允許 Lazarus 在受感染的系統(tǒng)上引入額外的有效負載。BottomLoader 則是一個惡意軟件下載程序，可以從硬編碼 URL 獲取并執(zhí)行有效負載。

5、憑證竊取與持久化：利用 ProcDump 和 MimiKatz 等工具進行憑證轉(zhuǎn)儲，以獲取更多的系統(tǒng)信息。同時，通過在系統(tǒng)的啟動目錄中創(chuàng)建 URL 文件，實現(xiàn)了新版本或其刪除的有效負載的持久性。

參考鏈接：

https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html

https://nvd.nist.gov/vuln/detail/cve-2021-44228

攻擊案例二：Lazarus 黑客組織利用 MagicLine4NX 軟件進行供應鏈攻擊

攻擊過程：

1、水坑漏洞攻擊：Lazarus 黑客組織潛入特定用戶經(jīng)常訪問的網(wǎng)站，并在其中嵌入惡意的腳本。當使用 MagicLine4NX 身份驗證軟件的用戶訪問這些網(wǎng)站時，嵌入的代碼就會執(zhí)行，黑客就能完全控制該系統(tǒng)。

2、利用系統(tǒng)漏洞傳播惡意代碼：黑客利用 MagicLine4NX 軟件中的零日漏洞，使連接網(wǎng)絡的個人電腦訪問他們的互聯(lián)網(wǎng)服務器。然后，他們通過數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務端服務器。

3、嘗試數(shù)據(jù)轉(zhuǎn)移：惡意軟件試圖與兩臺 C2 服務器建立連接，其中一臺是網(wǎng)絡系統(tǒng)內(nèi)的網(wǎng)關，另一臺位于互聯(lián)網(wǎng)外部。如果連接成功，大量的內(nèi)部網(wǎng)絡信息可能會被泄露。

技術手段：

1、零日漏洞利用：黑客利用 MagicLine4NX 軟件中的零日漏洞，這是一種尚未被公開的漏洞，使得他們能夠未經(jīng)授權地訪問目標系統(tǒng)。

2、供應鏈攻擊：通過利用供應鏈中的漏洞，黑客能夠繞過正常的安全措施，直接攻擊目標系統(tǒng)。

3、數(shù)據(jù)同步與 C2 服務器連接：黑客利用數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務端服務器，并試圖與外部的 C2 服務器建立連接，以便進一步控制和竊取數(shù)據(jù)。

參考鏈接：

https://www.zerofox.com/advisories/22471/

https://nvd.nist.gov/vuln/detail/CVE-2023-45797

攻擊案例三：針對加密貨幣的攻擊

目標：加密貨幣交易所、錢包、去中心化金融（DeFi）生態(tài)系統(tǒng)

攻擊時間：自 2018 年以來，尤其是 2023 年

攻擊過程與技術手段：

1、利用漏洞和被泄露的私鑰：朝鮮黑客利用被泄露的私鑰或種子短語的網(wǎng)絡釣魚和供應鏈攻擊來入侵目標。

2、跨鏈攻擊：他們特別針對跨鏈橋梁，如 Axie Infinity Ronin Bridge，以竊取大量虛擬貨幣。

多階段洗錢過程：朝鮮黑客在過去已經(jīng)使用過復雜的「多階段洗錢過程」來混淆資金的來源和去向。他們將盜取的虛擬貨幣先轉(zhuǎn)換為不同的代幣，再通過自動程序、混合器和跨鏈交換等方式進行多次的混合和交換，以增加追蹤的難度。

3、利用去中心化交易所：他們將盜取的虛擬貨幣通過去中心化交易所換成以太幣，然后再進行多次的混合和交換。

綜合以上案例，攻擊者可以竊取敏感數(shù)據(jù)，包括機密業(yè)務信息、客戶數(shù)據(jù)和個人身份信息，導致隱私泄露和潛在的法律后果。由于黑客能夠完全控制目標系統(tǒng)，他們可能獲取到大量的敏感信息，包括企業(yè)的內(nèi)部數(shù)據(jù)、客戶資料等。Lazarus 的黑客行動不僅導致受害組織的數(shù)據(jù)泄露和系統(tǒng)損害，還可能對受害者的業(yè)務運營造成嚴重影響。

這些攻擊通常涉及復雜的供應鏈攻擊，使得防范和檢測變得更為困難。攻擊可能導致金融損失，包括惡意軟件清除、數(shù)據(jù)恢復和系統(tǒng)修復的成本，以及業(yè)務中斷造成的收入損失。黑客的攻擊導致了大量的虛擬貨幣被盜，這不僅對受害者造成了經(jīng)濟損失，還可能暴露他們的個人信息和交易數(shù)據(jù)。針對跨鏈橋梁的攻擊可能導致整個系統(tǒng)的癱瘓，影響交易的正常進行。

為了應對這樣的安全威脅，建議組織可以采取以下防范措施

1、及時修補漏洞：確保及時應用安全補丁以修復已知漏洞。特別是在供應鏈中使用的軟件和組件，通過 MetaScan 的自動化審計功能，可以及時發(fā)現(xiàn)并修補可能存在的漏洞。

2、強化供應鏈安全：與供應鏈合作伙伴建立安全合作關系，對軟件和組件進行審查和驗證，確保供應鏈中的各個環(huán)節(jié)都不受黑客攻擊。借助 MetaScout 的監(jiān)控功能，可以動態(tài)更新黑名單，阻斷來自潛在朝鮮黑客地址的攻擊。

3、安全意識培訓：加強員工的安全意識培訓。教育員工警惕水坑攻擊、惡意腳本和供應鏈安全的重要性，以減少人為因素對安全的影響。Scantist 的 DevSecOps 解決方案可以為組織提供一站式的安全培訓和指導。

4、網(wǎng)絡流量監(jiān)測：實施網(wǎng)絡流量監(jiān)測和入侵檢測系統(tǒng)（IDS/IPS），及時發(fā)現(xiàn)異?；顒雍凸粜袨?。MetaScout 的攻擊阻斷機制可以結合網(wǎng)絡流量監(jiān)測，及時識別并阻止黑客攻擊交易。

5、多層防御：采用多層防御措施，包括防火墻、入侵檢測系統(tǒng)、反病毒軟件等，以提高系統(tǒng)的安全性。MetaScan 的 Prover 功能可以與現(xiàn)有的安全工具和措施配合使用，形成更全面的防御體系。

6、持續(xù)監(jiān)測和響應：建立安全監(jiān)測和響應機制，通過實時監(jiān)測網(wǎng)絡和系統(tǒng)活動，及時發(fā)現(xiàn)異常行為并采取適當?shù)捻憫胧?，以最大限度地減少攻擊造成的損失。Scantist 的組件分析功能可以持續(xù)監(jiān)測軟件供應鏈中的漏洞，并及時攔截有問題的開源和第三方組件。

7、加強加密貨幣交易所和錢包的安全措施：加密貨幣交易所和錢包應加強其安全措施，如使用強密碼、定期更換私鑰、實施多層安全策略等。MetaScout 的阻斷機制可為加密貨幣交易所提供基于動態(tài)黑名單的攻擊阻斷保護，確保用戶的數(shù)字資產(chǎn)安全。

8、定期審計與檢查：組織應定期對系統(tǒng)進行安全審計和檢查，以確保沒有潛在的安全漏洞。MetaScan 的自動化審計功能可幫助組織進行全面的安全評估，并及時發(fā)現(xiàn)潛在的漏洞和風險。

9、提高公眾意識：教育公眾關于網(wǎng)絡安全的重要性，讓他們了解如何保護自己的數(shù)字資產(chǎn)。組織可以通過宣傳活動、社交媒體等渠道提高公眾對網(wǎng)絡安全的認識，并提供相關的安全建議和指導。

需要注意的是，安全威脅和防范建議應根據(jù)實際情況和最新的安全情報進行評估和定制。此外，定期備份和恢復數(shù)據(jù)、使用強密碼和多因素身份驗證、限制特權訪問等也是提高安全性的有效措施。