雅加达 - APT(高级持续性威胁)参与者Lazarus通过特洛伊木马化新的分散式金融应用程序(DeFi)来获取利润,从而打击了加密货币业务。
Lazarus集团是世界上最活跃的APT参与者之一,至少自2009年以来一直在运营。与大多数国家赞助的APT团体不同,Lazarus和与此APT相关的其他威胁行为者已将经济利益作为其主要动机之一。
2021年12月,卡巴斯基研究人员发现了一个新的恶意软件活动,其中Lazarus集团向加密货币企业发送了一个特洛伊木马化的DeFi应用程序。该应用程序包含一个名为DeFi钱包的合法程序,用于存储和管理加密货币钱包。
运行时,应用会丢弃恶意文件以及合法应用的安装程序,最终使用特洛伊木马安装程序路径启动恶意软件。然后,恶意软件会用安装了特洛伊木马的应用程序覆盖合法应用程序。
此感染方案中使用的恶意软件是一个功能齐全的后门,能够远程控制受害者的系统。在控制系统后,攻击者可以删除文件,收集信息,连接到特定的IP地址,并与C2服务器通信。
根据拉撒路袭击事件的历史,研究人员认为这场运动背后的动机无非是经济利益。在查看了这个后门的功能后,卡巴斯基研究人员发现与Lazarus集团使用的其他工具有很多重叠,即CookieTime和ThreatNeedle恶意软件集群。多阶段感染方案也广泛用于Lazarus基础设施。
"我们已经观察到Lazarus集团对加密货币行业的高度兴趣已经有一段时间了,并且还观察了他们如何开发复杂的方法来引诱受害者,而不会引起对感染过程的注意,"全球研究和分析团队(GReAT)卡巴斯基的高级安全研究员Seongsu Park在VOI收到的一份声明中表示, 星期一, 四月 4.
Seongsu Park补充说,基于加密货币和区块链的行业正在不断发展,并吸引了更高水平的投资。因此,它们不仅对诈骗者和网络钓鱼者有吸引力,而且对"大猎人"也有吸引力,包括经济动机的APT集团。
"随着加密货币市场的增长,我们坚信Lazarus对这个行业的兴趣在不久的将来不会减少。在最近的一次活动中,Lazarus通过模仿它们并丢弃恶意软件来滥用合法的DeFi应用程序,这是加密狩猎中使用的常见策略。
这就是为什么卡巴斯基敦促公司对未知的电子邮件链接和附件保持警惕。"因为它有可能是假的,即使它看起来熟悉和安全,"他说。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
