網絡安全公司卡巴斯基實驗室 3 月 26 日發布報告稱,傳聞由北韓撐腰的網絡犯罪組織 Lazarus 再次採用新策略以盜取加密貨幣。
卡巴斯基表示,監控人員長期以來追蹤 Lazarus 針對金融行業的活動發現,該組織自去年 11 月以來便開始積極推行新操作,使用組織開發的自定義腳本 PowerShell 來管理和控制 Windows 和 macOS 惡意軟件。另外,PowerShell 腳本還能與惡意服務器 C2 進行通信,並執行操作者的命令。
為了掩人耳目,該組織更將 C2 服務器的腳本名稱喬裝成 WordPress 文件,以及其他熱門開源項目。報告特別提到,成功獲取受害服務器的控制權限後,惡意軟體將提供以下操縱功能:
- 設置睡眠時間(與 C2 之間的互動延遲)
- 退出惡意軟體
- 收集主機信息
- 檢查惡意軟體狀態
- 顯示當前的惡意軟體配置
- 更新惡意軟體配置
- 執行 system shell 命令
- 下載和上傳文件
卡巴斯基指出,Lazarus 這次依舊鎖定加密貨幣和金融科技行業的系統,並建議這些業內參與者謹慎行事:「如果你是加密貨幣或科技新創公司之一,且需頻繁與第三方打交道或在系統上安裝軟體的話,切記要時刻保持謹慎。」
報告建議,安裝任何新的應用程式前,最好事前使用防病毒軟體掃描檢查,並嘗試在離線網路虛擬機上安裝。
另外,若有收到來自陌生或不可信任的單位傳來 Microsoft Office 文檔,卡巴斯基告誡千萬不要點擊「Enable Content(啟用內容)」,因為該文檔有可能已被嵌入「巨集命令」,使得某種操作得以自動運行。
卡巴斯基發現,為了吸引加密貨幣專業人士的注意力,Lazarus 特意將惡意軟體暗藏在經過精心準備的 Microsoft Word 韓文文檔中,標題為「新創公司商業計畫評估文件範本」。卡巴斯基因此認定,韓國新創企業就是該組織的頭號目標。
2017 年至 2018 年間,全球共發生了 14 宗線上交易所被盜事件,損失金額高達 8.8 億美元的加密貨幣,當中就 5 宗事件,即 5.71 億美元據稱是 Lazarus 所為,佔總金額近 65% 。
外媒曾於 3 月上旬報導,從 2015 年開始,北韓已通過駭客攻擊積累高價值 6.7 億美元的法定貨幣和加密貨幣,更被指利用區塊鏈「掩蓋其蹤跡」。