APT黑客对于加密货币交易所发起的网络攻击

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

AlienVault的安全研究人员利用武器化的韩文文字处理器HWP文件(韩文文字处理器文件)发现了一系列加密货币交易所的网络攻击。
涉及HWP文件的一系列攻击事件归因于与朝鲜有关的拉扎鲁斯APT小组,其中包括韩国虚拟货币交易所Bithumb的黑客攻击。黑客设法窃取价值约3200万美元的加密货币,这是加密货币交易所遭受的第二次安全漏洞,导致服务关闭。第一次攻击也归功于拉撒路APT组织。

拉扎鲁斯集团的活动在2014年和2015年飙升,其成员主要在攻击中使用了定制恶意软件,而对船员进行调查的专家认为它非常复杂。

这个威胁行为者至少从2009年开始活跃起来,可能早在2007年,它参与了旨在摧毁数据和破坏系统的网络间谍活动和破坏活动。安全研究人员发现,朝鲜拉撒路APT组织背后是 最近对银行的袭击,包括 孟加拉网络抢劫。

据安全专家称,该团体落后于其他大规模的针对全球目标的网络间谍活动,其中包括 Troy Operation, DarkSeoul Operation和 Sony Picture hack。

最近,该组织袭击了拉丁美洲的几家银行,窃取了数千万美元。

本月早些时候,AlienVault的专家报告说,Lazarus APT一直利用 ActiveX零日漏洞攻击韩国目标。

几天前,Alien Vault的专家发现了一系列针对最近G20财务会议成员的武器文件。

“一份恶意文件似乎是针对最近G20财务会议的成员,寻求协调最富裕国家之间的经济政策。据报道,另一个与最近从韩国Bithumb加密货币兑换中窃取3000万美元有关。“阅读由Alien Vault发布的分析。

最近攻击中使用的HWP文档包括下载第二阶段恶意软件(32位或64位版本的Manuscrypt)的恶意后记代码。

APT黑客对于加密货币交易所发起的网络攻击

韩国组织发布的报告表明,Bithumb的cyberheist形式利用恶意的HWP文件,并在5月和6月早些时候启动。这些文件涉及伪造的简历,并与拉撒路以前的攻击有关。

“ 韩国一家新闻机构 对韩国安全公司调查 盗窃案的调查 报告 显示,一些非常熟悉的恶意软件样本发送给加密货币组织”,Alien Vault继续说。

“虽然我们无法确定这种恶意软件是否对Bithumb的盗窃行为负责,但似乎可能是嫌疑犯,”

据专家介绍,据报道Lazarus的恶意HWP文件在6月份针对韩国的密码货币用户。

攻击者也在发起针对交易所用户的钓鱼攻击活动,拉撒路APT注册了一些加密货币网络钓鱼域名,考虑到黑客在过去的攻击中破坏了合法网站,这是一种反常现象。黑客使用与域相同的电话号码(itaddnet [。] com)。

“很显然,鉴于拉撒路的盗窃活动不会很快停止 - 从孟加拉银行窃取10亿美元的(部分成功的)企图占朝鲜报告的 国内生产总值的3% 。来自韩国组织的盗窃活动削弱了他们最接近的竞争对手的双重影响。“AlienVault总结道

AlienVault发布的分析报告了更多详细信息,包括IoC。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: