在周一發布的聯合公告中,美國網絡與基礎設施安全局(CISA)、聯邦調查局(FBI)和財政部指出 —— 被稱作 Lazarus Group 的黑客組織,正在使用被植入木馬的加密貨幣應用程序,向區塊鏈行業的各個組織發起攻擊。據說受害者中包括加密貨幣交易所、風投、持有大量加密貨幣 / 非同質化代幣(NFT)的公司,以及參與其中的個人。
CryptAIS 網站截圖
幾天前,美官員剛剛將疑似與朝鮮方面有關聯的 Lazarus Group 黑客組織,與最近從 Ronin 竊取的價值 6.25 億美元的加密貨幣事件聯繫起來。
作為一個基於 ETH 的側鏈,它有被用於盈利類遊戲 Axie Infinity 。然而攻擊者們正在通過各種通信平台和社會工程手段,將黑手伸向了加密貨幣企業的員工。
公告提醒道:攻擊者會發送具有高度針對性的欺詐(釣魚)郵件,聲稱提供高薪工作機會、以試圖引誘受害者下載被植入木馬的加密貨幣應用程序。
UpdateCheckSync() 與 DAFOM 捆綁功能描述
美政府機構將這類操作稱作“叛變交易”(TraderTraitor),似乎是所謂的“夢想工作”(Dream Job)攻擊事件的一個延續。
後者在 2020 年被首次觀察到,可知黑客將目光瞄向了國防、航空航天和化工行業的工作者,此類惡意應用程序會在受害者網絡環境中傳播。
而為了開展欺詐性區塊鏈交易等後續活動,黑客不僅會試圖竊取私鑰、還會積極利用其它安全漏洞。
Esilet 中的 UpdateCheckSync() 函數截圖
CISA 披露的部分 TraderTraitor 惡意應用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,聲稱提供各種投資組合、以及實時的加密貨幣預測等服務。
此外該公告還詳細描述了攻擊指標(IOC)和應對策略、技術與程序(TTP)細節,以敦促區塊鏈和加密貨幣行業組織加強防禦措施。
最後,美方去年還通報過被注入了 AppleJeus 惡意軟件的加密貨幣交易應用程序,可知 Lazarus 利用此類手段從全球企業和個人手中劫掠了不少加密資產。