
朝鮮黑客狂潮:保護企業數據安全迫在眉睫
TechFlow Selected深潮精選

朝鮮黑客狂潮:保護企業數據安全迫在眉睫
如何防範來自朝鮮黑客的安全攻擊?
撰文:MetaTrust Labs
2024 年 1 月 1 日,一場針對 Orbit Chain 的黑客攻擊引起了全球加密貨幣界的關注。據報道,黑客利用 Orbit Chain 的漏洞,竊取了價值 8150 萬美元的加密貨幣,並將其轉移到了其他地址。Orbit Chain 官方已經確認了這一事件,並表示正在與國際執法機構合作,追查攻擊者的身份和動機。一些安全專家認為,這次攻擊的手法和目標與朝鮮黑客組織 Lazarus 的風格相似,可能是該組織的又一次網絡犯罪行為。
Lazarus 是何方組織,他們的活動為什麼會引起國際上如此高的警惕?該組織又是如何通過加密貨幣來繞過國際制裁和反洗錢措施的呢?
來自朝鮮的 Lazarus 黑客組織
Lazarus 黑客組織是朝鮮官方背景的知名黑客組織,自 2009 年以來已經運營了十多年。該組織以全球範圍內的組織為目標而聞名,迄今為止的行動包括對金融機構、媒體和政府機構的攻擊。Lazarus Group 由朝鮮情報偵察總局下屬的 121 局控制。該組織以攻擊銀行和加密貨幣交易所聞名,通過竊取資金和數據來獲取經濟利益。Lazarus Group 以高規格禮遇對待程序員,並鼓勵有計算機天賦的人加入官方「黑客」行列。
平壤自動化大學是 Lazarus Group 黑客的重要來源之一。該組織已經將自己的工作重心從政治攻擊轉移至經濟攻擊,專注於攻擊加密貨幣世界。他們的活動還涉及針對安全研究人員、在開源加密貨幣平臺中嵌入惡意代碼、執行大規模加密貨幣搶劫以及利用虛假工作面試來傳播惡意軟件。這些黑客組織通過非法手段獲得的資金會經歷傳統網絡犯罪集團所採用的典型洗錢流程,被竊取的加密貨幣經常被轉換為法定貨幣,用來逃避反洗錢措施。
韓國、美國和日本一直對朝鮮黑客組織的活動保持高度警惕。據報道,朝鮮黑客組織在過去幾年中成功竊取了價值 30 億美元的加密貨幣資金,這些資金被用於支持朝鮮的核彈和彈道導彈計劃。美國、韓國和日本的安全顧問們在首爾會晤,商討了如何應對朝鮮在網絡空間的風險,並宣佈了新的三邊合作倡議,重點解決朝鮮進行的網絡犯罪和加密貨幣洗錢活動。此次會議是在朝鮮半島局勢緊張升級的時刻召開的,朝鮮加快了核武器和導彈計劃的擴張,並公開展示了核武器先發制人使用的態度。
Lazarus 黑客組織的攻擊手段和目標多種多樣,從針對金融機構的 SWIFT 網絡攻擊到更廣泛的加密貨幣搶劫,都表現出該組織的高度技術能力和威脅性。然而,對於這些攻擊的防範措施卻相對較少。自 2018 年以來,朝鮮黑客已經竊取了約 20 億美元的虛擬貨幣。僅在 2023 年,他們就盜取了大約 2 億美元的加密貨幣,佔當年被盜資金的 20%。這些黑客的存在對虛擬貨幣生態系統構成持續威脅,並且他們的網絡攻擊方法日益演變和複雜化。
朝鮮黑客組織的活動規模超過其他惡意行為者的 10 倍,並且他們還針對去中心化金融生態系統進行攻擊。他們使用各種方法進行網絡攻擊,包括網絡釣魚、供應鏈攻擊和其他形式的黑客手段。因此,企業和個人用戶需要加強網絡安全措施,定期更新軟件、強化密碼策略,並提高對網絡安全的重視程度。同時,監管機構也需要加強監管力度,制定更加嚴格的法律法規來遏制這種網絡犯罪行為。
攻擊案例一:Lazarus 利用 Log4Shell 漏洞進行 Blacksmith 鐵匠行動
攻擊過程與手段:
1、利用 Log4Shell 漏洞:Lazarus 首先利用 Log4Shell 漏洞,這是一個在 Log4j 日誌庫中發現的遠程代碼執行缺陷。由於該漏洞在兩年前被發現並修復,但許多系統可能仍然存在未修補的版本,為 Lazarus 提供了進入的入口。
2、代理工具部署:一旦獲得初始訪問權限,Lazarus 設置了一個代理工具,該工具用於在受攻擊的服務器上進行持久訪問。此工具允許他們運行偵察命令、創建新的管理員帳戶,並部署其他憑據竊取工具。
3、NineRAT 部署:在第二階段,Lazarus 在系統上部署了 NineRAT 惡意軟件。NineRAT 是一個遠程訪問木馬,可以收集系統信息、升級到新版本、停止執行、自行卸載以及從受感染的計算機上傳文件。它還包含一個釋放器,負責建立持久性並啟動主要的二進制文件。
4、DLRAT 與 BottomLoader 使用:Lazarus 還使用了 DLRAT 和 BottomLoader。DLRAT 是一種特洛伊木馬和下載程序,允許 Lazarus 在受感染的系統上引入額外的有效負載。BottomLoader 則是一個惡意軟件下載程序,可以從硬編碼 URL 獲取並執行有效負載。
5、憑證竊取與持久化:利用 ProcDump 和 MimiKatz 等工具進行憑證轉儲,以獲取更多的系統信息。同時,通過在系統的啟動目錄中創建 URL 文件,實現了新版本或其刪除的有效負載的持久性。
參考鏈接:https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.htmlhttps://nvd.nist.gov/vuln/detail/cve-2021-44228
攻擊案例二:Lazarus 黑客組織利用 MagicLine4NX 軟件進行供應鏈攻擊
攻擊過程:
1、水坑漏洞攻擊:Lazarus 黑客組織潛入特定用戶經常訪問的網站,並在其中嵌入惡意的腳本。當使用 MagicLine4NX 身份驗證軟件的用戶訪問這些網站時,嵌入的代碼就會執行,黑客就能完全控制該系統。
2、利用系統漏洞傳播惡意代碼:黑客利用 MagicLine4NX 軟件中的零日漏洞,使連接網絡的個人電腦訪問他們的互聯網服務器。然後,他們通過數據同步功能將惡意代碼傳播到業務端服務器。
3、嘗試數據轉移:惡意軟件試圖與兩臺 C2 服務器建立連接,其中一臺是網絡系統內的網關,另一臺位於互聯網外部。如果連接成功,大量的內部網絡信息可能會被洩露。
技術手段:
1、零日漏洞利用:黑客利用 MagicLine4NX 軟件中的零日漏洞,這是一種尚未被公開的漏洞,使得他們能夠未經授權地訪問目標系統。
2、供應鏈攻擊:通過利用供應鏈中的漏洞,黑客能夠繞過正常的安全措施,直接攻擊目標系統。
3、數據同步與 C2 服務器連接:黑客利用數據同步功能將惡意代碼傳播到業務端服務器,並試圖與外部的 C2 服務器建立連接,以便進一步控制和竊取數據。
參考鏈接:https://www.zerofox.com/advisories/22471/https://nvd.nist.gov/vuln/detail/CVE-2023-45797
攻擊案例三:針對加密貨幣的攻擊
目標:加密貨幣交易所、錢包、去中心化金融(DeFi)生態系統
攻擊時間:自 2018 年以來,尤其是 2023 年
攻擊過程與技術手段:
1、利用漏洞和被洩露的私鑰:朝鮮黑客利用被洩露的私鑰或種子短語的網絡釣魚和供應鏈攻擊來入侵目標。
2、跨鏈攻擊:他們特別針對跨鏈橋樑,如 Axie Infinity Ronin Bridge,以竊取大量虛擬貨幣。
多階段洗錢過程:朝鮮黑客在過去已經使用過複雜的「多階段洗錢過程」來混淆資金的來源和去向。他們將盜取的虛擬貨幣先轉換為不同的代幣,再通過自動程序、混合器和跨鏈交換等方式進行多次的混合和交換,以增加追蹤的難度。
3、利用去中心化交易所:他們將盜取的虛擬貨幣通過去中心化交易所換成以太幣,然後再進行多次的混合和交換。
綜合以上案例,攻擊者可以竊取敏感數據,包括機密業務信息、客戶數據和個人身份信息,導致隱私洩露和潛在的法律後果。由於黑客能夠完全控制目標系統,他們可能獲取到大量的敏感信息,包括企業的內部數據、客戶資料等。Lazarus 的黑客行動不僅導致受害組織的數據洩露和系統損害,還可能對受害者的業務運營造成嚴重影響。
這些攻擊通常涉及複雜的供應鏈攻擊,使得防範和檢測變得更為困難。攻擊可能導致金融損失,包括惡意軟件清除、數據恢復和系統修復的成本,以及業務中斷造成的收入損失。黑客的攻擊導致了大量的虛擬貨幣被盜,這不僅對受害者造成了經濟損失,還可能暴露他們的個人信息和交易數據。針對跨鏈橋樑的攻擊可能導致整個系統的癱瘓,影響交易的正常進行。
為了應對這樣的安全威脅,建議組織可以採取以下防範措施
1、及時修補漏洞:確保及時應用安全補丁以修復已知漏洞。特別是在供應鏈中使用的軟件和組件,通過 MetaScan 的自動化審計功能,可以及時發現並修補可能存在的漏洞。
2、強化供應鏈安全:與供應鏈合作伙伴建立安全合作關係,對軟件和組件進行審查和驗證,確保供應鏈中的各個環節都不受黑客攻擊。藉助 MetaScout 的監控功能,可以動態更新黑名單,阻斷來自潛在朝鮮黑客地址的攻擊。
3、安全意識培訓:加強員工的安全意識培訓。教育員工警惕水坑攻擊、惡意腳本和供應鏈安全的重要性,以減少人為因素對安全的影響。Scantist 的 DevSecOps 解決方案可以為組織提供一站式的安全培訓和指導。
4、網絡流量監測:實施網絡流量監測和入侵檢測系統(IDS/IPS),及時發現異常活動和攻擊行為。MetaScout 的攻擊阻斷機制可以結合網絡流量監測,及時識別並阻止黑客攻擊交易。
5、多層防禦:採用多層防禦措施,包括防火牆、入侵檢測系統、反病毒軟件等,以提高系統的安全性。MetaScan 的 Prover 功能可以與現有的安全工具和措施配合使用,形成更全面的防禦體系。
6、持續監測和響應:建立安全監測和響應機制,通過實時監測網絡和系統活動,及時發現異常行為並採取適當的響應措施,以最大限度地減少攻擊造成的損失。Scantist 的組件分析功能可以持續監測軟件供應鏈中的漏洞,並及時攔截有問題的開源和第三方組件。
7、加強加密貨幣交易所和錢包的安全措施:加密貨幣交易所和錢包應加強其安全措施,如使用強密碼、定期更換私鑰、實施多層安全策略等。MetaScout 的阻斷機制可為加密貨幣交易所提供基於動態黑名單的攻擊阻斷保護,確保用戶的數字資產安全。
8、定期審計與檢查:組織應定期對系統進行安全審計和檢查,以確保沒有潛在的安全漏洞。MetaScan 的自動化審計功能可幫助組織進行全面的安全評估,並及時發現潛在的漏洞和風險。
9、提高公眾意識:教育公眾關於網絡安全的重要性,讓他們瞭解如何保護自己的數字資產。組織可以通過宣傳活動、社交媒體等渠道提高公眾對網絡安全的認識,並提供相關的安全建議和指導。
需要注意的是,安全威脅和防範建議應根據實際情況和最新的安全情報進行評估和定製。此外,定期備份和恢復數據、使用強密碼和多因素身份驗證、限制特權訪問等也是提高安全性的有效措施。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News












