贪婪的朝鲜黑客：加密货币和 PoS 终端赚钱，交易所被黑和破产

朝鲜黑客组织变得越来越贪婪。 安全研究人员发现了与朝鲜政府有联系的国家黑客组织 Lazarus 发起的一项针对加密货币用户的新恶意软件活动。

臭名昭著的拉撒路黑客组织

活跃于 2009 年的 Lazarus 黑客组织被指控发起了多次引人注目的攻击，包括索尼影业黑客攻击、从孟加拉国银行没收 8100 万美元以及 WannaCry 攻击。

美国公开指责朝鲜应对全球 WannaCry 勒索软件攻击负责。 这次攻击导致全球 150 多个国家的数十万台计算机受到感染。

这一次，安全研究人员指控 Lazarus 组织从韩国交易所 Youbit 窃取了价值数百万美元的比特币，导致该交易所在损失 17% 的资产后关闭并申请破产。

韩国加密货币交易所 Youbit 在不到八个月的时间里两次遭到黑客攻击，不久前宣布破产。

Youbit 在这次网络攻击中损失了 17% 的资产。

4 月，Youbit（当时称为 Yapizon）遭到黑客攻击并丢失了 4,000 个比特币，现在价值 7,300 万美元。

调查此事件的韩国互联网和安全局官员 Kisa 表示，他们已经开始调查黑客如何获得对交易所核心系统的访问权限。

Kisa 将对 Youbit 的攻击归咎于朝鲜网络间谍。 同样，最近对 Bithumb 和 Coinis 交易所的攻击也被归咎于朝鲜。

目前还没有人对这次袭击负责。

Youbit 在一份声明中表示，客户将取回 75% 的资产。

Youbit 后来补充说朝鲜挖比特币，黑客并没有窃取所有的加密货币，因为许多加密货币都存储在一个“冷钱包”中——一个存放未交易资产的安全仓库。

Youbit 是韩国活跃的小型交易所之一。 大多数比特币交易都是在 Bithumb 交易所完成的，该交易所占据了 70% 的市场份额。

越来越多的网络犯罪分子正试图从比特币等虚拟货币的繁荣中获利。 许多人使用恶意软件试图让受害者的计算机挖掘加密货币。 也有黑客攻击交易所和其他加密货币服务公司，以一次性获取大量比特币。

本月早些时候，黑客从斯洛文尼亚加密货币交易所 NiceHash 窃取了超过 8000 万美元的比特币。

利用比特币价格的暴涨

Proofpoint 的研究人员发布了一份报告，将 Lazarus 黑客组织与针对加密货币用户和 PoS 的多次多阶段网络攻击联系起来。 报道称，“该组织发起的攻击活动不断受到经济利益的驱动，似乎人们正试图利用人们对加密货币日益增长的兴趣和价格的突然上涨。 Lazarus 黑客、植入物和漏洞的武器库非常庞大。 而且还在开发中。”

研究人员分析了来自多个鱼叉式网络钓鱼活动的大量鱼叉式网络钓鱼电子邮件，发现了一种新的基于 PowerShell 的侦察植入物 PowerRatankba。

PowerRatankba 使用的加密、混淆、功能和诱饵类似于 Lazarus 黑客组织开发的原始 Ratankba 植入程序。

PowerRatankba 植入程序通过以下攻击媒介通过大规模电子邮件活动进行分发：

PowerRatankba 至少有两个变种，它作为第一阶段的恶意软件，仅向对加密货币感兴趣的目标公司、组织和个人分发功能齐全的后门（在本例中为 Gh0st RAT）。

安装后，Gh0st RAT 允许网络犯罪分子窃取 Mibi 钱包和交易所的凭据。

值得注意的是，PowerRatankba 和 Gh0st RAT 没有利用任何零日漏洞，但 Lazarus 黑客组织依赖混合编程实践朝鲜挖比特币，例如通过 HTTP 进行 C&C 通信，使用 Spritz 加密算法和启用 Base64 的自定义加密。

除了窃取加密货币外，Lazarus 黑客组织还感染了在韩国大规模部署的 SoftCamp POS 终端，通过 RatankbaPOS 恶意软件窃取信用卡数据。

由于 RatankbaPOS 和 PowerRatankba 植入程序共享同一个 C&C 服务器，因此这两个植入程序与 Lazarus 黑客组织之间存在所谓的联系。

加密货币价值的爆发式增长，不仅促使交易者将所有的时间和资源投入到数字财富中，黑客们也盯上了这块肥肉。

研究人员在一份题为“朝鲜被比特币漏洞咬伤：金融动机驱动的攻击揭示了拉撒路黑客组织的另一面”的报告中详细介绍了该黑客组织的行动。

登录安南客——贴心的安全新媒体，或下载安南客APP获取更多最新资讯~