【#区块链# #朝鲜黑客狂潮：保护企业数据安全迫在眉睫#】

如何防范来自朝鲜黑客的安全攻击？

撰文：MetaTrust Labs

2024 年 1 月 1 日，一场针对 Orbit Chain 的黑客攻击引起了全球加密货币界的关注。据报道，黑客利用 Orbit Chain 的漏洞，窃取了价值 8150 万美元的加密货币，并将其转移到了其他地址。Orbit Chain 官方已经确认了这一事件，并表示正在与国际执法机构合作，追查攻击者的身份和动机。一些安全专家认为，这次攻击的手法和目标与朝鲜黑客组织 Lazarus 的风格相似，可能是该组织的又一次网络犯罪行为。

Lazarus 是何方组织，他们的活动为什么会引起国际上如此高的警惕？该组织又是如何通过加密货币来绕过国际制裁和反洗钱措施的呢？

来自朝鲜的 Lazarus 黑客组织

Lazarus 黑客组织是朝鲜官方背景的知名黑客组织，自 2009 年以来已经运营了十多年。该组织以全球范围内的组织为目标而闻名，迄今为止的行动包括对金融机构、媒体和政府机构的攻击。Lazarus Group 由朝鲜情报侦察总局下属的 121 局控制。该组织以攻击银行和加密货币交易所闻名，通过窃取资金和数据来获取经济利益。Lazarus Group 以高规格礼遇对待程序员，并鼓励有计算机天赋的人加入官方「黑客」行列。

平壤自动化大学是 Lazarus Group 黑客的重要来源之一。该组织已经将自己的工作重心从政治攻击转移至经济攻击，专注于攻击加密货币世界。他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。这些黑客组织通过非法手段获得的资金会经历传统网络犯罪集团所采用的典型洗钱流程，被窃取的加密货币经常被转换为法定货币，用来逃避反洗钱措施。

韩国、美国和日本一直对朝鲜黑客组织的活动保持高度警惕。据报道，朝鲜黑客组织在过去几年中成功窃取了价值 30 亿美元的加密货币资金，这些资金被用于支持朝鲜的核弹和弹道导弹计划。美国、韩国和日本的安全顾问们在首尔会晤，商讨了如何应对朝鲜在网络空间的风险，并宣布了新的三边合作倡议，重点解决朝鲜进行的网络犯罪和加密货币洗钱活动。此次会议是在朝鲜半岛局势紧张升级的时刻召开的，朝鲜加快了核武器和导弹计划的扩张，并公开展示了核武器先发制人使用的态度。

Lazarus 黑客组织的攻击手段和目标多种多样，从针对金融机构的 SWIFT 网络攻击到更广泛的加密货币抢劫，都表现出该组织的高度技术能力和威胁性。然而，对于这些攻击的防范措施却相对较少。自 2018 年以来，朝鲜黑客已经窃取了约 20 亿美元的虚拟货币。仅在 2023 年，他们就盗取了大约 2 亿美元的加密货币，占当年被盗资金的 20%。这些黑客的存在对虚拟货币生态系统构成持续威胁，并且他们的网络攻击方法日益演变和复杂化。

朝鲜黑客组织的活动规模超过其他恶意行为者的 10 倍，并且他们还针对去中心化金融生态系统进行攻击。他们使用各种方法进行网络攻击，包括网络钓鱼、供应链攻击和其他形式的黑客手段。因此，企业和个人用户需要加强网络安全措施，定期更新软件、强化密码策略，并提高对网络安全的重视程度。同时，监管机构也需要加强监管力度，制定更加严格的法律法规来遏制这种网络犯罪行为。

攻击案例一：Lazarus 利用 Log4Shell 漏洞进行 Blacksmith 铁匠行动

攻击过程与手段：

1、利用 Log4Shell 漏洞：Lazarus 首先利用 Log4Shell 漏洞，这是一个在 Log4j 日志库中发现的远程代码执行缺陷。由于该漏洞在两年前被发现并修复，但许多系统可能仍然存在未修补的版本，为 Lazarus 提供了进入的入口。

2、代理工具部署：一旦获得初始访问权限，Lazarus 设置了一个代理工具，该工具用于在受攻击的服务器上进行持久访问。此工具允许他们运行侦察命令、创建新的管理员帐户，并部署其他凭据窃取工具。

3、NineRAT 部署：在第二阶段，Lazarus 在系统上部署了 NineRAT 恶意软件。NineRAT 是一个远程访问木马，可以收集系统信息、升级到新版本、停止执行、自行卸载以及从受感染的计算机上传文件。它还包含一个释放器，负责建立持久性并启动主要的二进制文件。

4、DLRAT 与 BottomLoader 使用：Lazarus 还使用了 DLRAT 和 BottomLoader。DLRAT 是一种特洛伊木马和下载程序，允许 Lazarus 在受感染的系统上引入额外的有效负载。BottomLoader 则是一个恶意软件下载程序，可以从硬编码 URL 获取并执行有效负载。

5、凭证窃取与持久化：利用 ProcDump 和 MimiKatz 等工具进行凭证转储，以获取更多的系统信息。同时，通过在系统的启动目录中创建 URL 文件，实现了新版本或其删除的有效负载的持久性。

参考链接：

https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html

https://nvd.nist.gov/vuln/detail/cve-2021-44228

攻击案例二：Lazarus 黑客组织利用 MagicLine4NX 软件进行供应链攻击

攻击过程：

1、水坑漏洞攻击：Lazarus 黑客组织潜入特定用户经常访问的网站，并在其中嵌入恶意的脚本。当使用 MagicLine4NX 身份验证软件的用户访问这些网站时，嵌入的代码就会执行，黑客就能完全控制该系统。

2、利用系统漏洞传播恶意代码：黑客利用 MagicLine4NX 软件中的零日漏洞，使连接网络的个人电脑访问他们的互联网服务器。然后，他们通过数据同步功能将恶意代码传播到业务端服务器。

3、尝试数据转移：恶意软件试图与两台 C2 服务器建立连接，其中一台是网络系统内的网关，另一台位于互联网外部。如果连接成功，大量的内部网络信息可能会被泄露。

技术手段：

1、零日漏洞利用：黑客利用 MagicLine4NX 软件中的零日漏洞，这是一种尚未被公开的漏洞，使得他们能够未经授权地访问目标系统。

2、供应链攻击：通过利用供应链中的漏洞，黑客能够绕过正常的安全措施，直接攻击目标系统。

3、数据同步与 C2 服务器连接：黑客利用数据同步功能将恶意代码传播到业务端服务器，并试图与外部的 C2 服务器建立连接，以便进一步控制和窃取数据。

参考链接：

https://www.zerofox.com/advisories/22471/

https://nvd.nist.gov/vuln/detail/CVE-2023-45797

攻击案例三：针对加密货币的攻击

目标：加密货币交易所、钱包、去中心化金融（DeFi）生态系统

攻击时间：自 2018 年以来，尤其是 2023 年

攻击过程与技术手段：

1、利用漏洞和被泄露的私钥：朝鲜黑客利用被泄露的私钥或种子短语的网络钓鱼和供应链攻击来入侵目标。

2、跨链攻击：他们特别针对跨链桥梁，如 Axie Infinity Ronin Bridge，以窃取大量虚拟货币。

多阶段洗钱过程：朝鲜黑客在过去已经使用过复杂的「多阶段洗钱过程」来混淆资金的来源和去向。他们将盗取的虚拟货币先转换为不同的代币，再通过自动程序、混合器和跨链交换等方式进行多次的混合和交换，以增加追踪的难度。

3、利用去中心化交易所：他们将盗取的虚拟货币通过去中心化交易所换成以太币，然后再进行多次的混合和交换。

综合以上案例，攻击者可以窃取敏感数据，包括机密业务信息、客户数据和个人身份信息，导致隐私泄露和潜在的法律后果。由于黑客能够完全控制目标系统，他们可能获取到大量的敏感信息，包括企业的内部数据、客户资料等。Lazarus 的黑客行动不仅导致受害组织的数据泄露和系统损害，还可能对受害者的业务运营造成严重影响。

这些攻击通常涉及复杂的供应链攻击，使得防范和检测变得更为困难。攻击可能导致金融损失，包括恶意软件清除、数据恢复和系统修复的成本，以及业务中断造成的收入损失。黑客的攻击导致了大量的虚拟货币被盗，这不仅对受害者造成了经济损失，还可能暴露他们的个人信息和交易数据。针对跨链桥梁的攻击可能导致整个系统的瘫痪，影响交易的正常进行。

为了应对这样的安全威胁，建议组织可以采取以下防范措施

1、及时修补漏洞：确保及时应用安全补丁以修复已知漏洞。特别是在供应链中使用的软件和组件，通过 MetaScan 的自动化审计功能，可以及时发现并修补可能存在的漏洞。

2、强化供应链安全：与供应链合作伙伴建立安全合作关系，对软件和组件进行审查和验证，确保供应链中的各个环节都不受黑客攻击。借助 MetaScout 的监控功能，可以动态更新黑名单，阻断来自潜在朝鲜黑客地址的攻击。

3、安全意识培训：加强员工的安全意识培训。教育员工警惕水坑攻击、恶意脚本和供应链安全的重要性，以减少人为因素对安全的影响。Scantist 的 DevSecOps 解决方案可以为组织提供一站式的安全培训和指导。

4、网络流量监测：实施网络流量监测和入侵检测系统（IDS/IPS），及时发现异常活动和攻击行为。MetaScout 的攻击阻断机制可以结合网络流量监测，及时识别并阻止黑客攻击交易。

5、多层防御：采用多层防御措施，包括防火墙、入侵检测系统、反病毒软件等，以提高系统的安全性。MetaScan 的 Prover 功能可以与现有的安全工具和措施配合使用，形成更全面的防御体系。

6、持续监测和响应：建立安全监测和响应机制，通过实时监测网络和系统活动，及时发现异常行为并采取适当的响应措施，以最大限度地减少攻击造成的损失。Scantist 的组件分析功能可以持续监测软件供应链中的漏洞，并及时拦截有问题的开源和第三方组件。

7、加强加密货币交易所和钱包的安全措施：加密货币交易所和钱包应加强其安全措施，如使用强密码、定期更换私钥、实施多层安全策略等。MetaScout 的阻断机制可为加密货币交易所提供基于动态黑名单的攻击阻断保护，确保用户的数字资产安全。

8、定期审计与检查：组织应定期对系统进行安全审计和检查，以确保没有潜在的安全漏洞。MetaScan 的自动化审计功能可帮助组织进行全面的安全评估，并及时发现潜在的漏洞和风险。

9、提高公众意识：教育公众关于网络安全的重要性，让他们了解如何保护自己的数字资产。组织可以通过宣传活动、社交媒体等渠道提高公众对网络安全的认识，并提供相关的安全建议和指导。

需要注意的是，安全威胁和防范建议应根据实际情况和最新的安全情报进行评估和定制。此外，定期备份和恢复数据、使用强密码和多因素身份验证、限制特权访问等也是提高安全性的有效措施。