FBI、美国财政部和CISA警告朝鲜黑客以区块链公司为目标

美国网络安全和基础设施安全局（CISA）以及联邦调查局（FBI）和财政部警告称，Lazarus集团正在针对区块链公司实施一系列新的网络攻击。

调用活动群集TraderTraitor公司，渗透涉及朝鲜国家赞助的高级持久性威胁（APT）参与者罢工实体，该实体至少自2020年起在Web3.0行业运营。

目标组织包括加密货币交易所、去中心化金融（DeFi）协议、玩游戏赚取加密货币视频游戏、加密货币交易公司、投资加密货币的风险资本基金，以及大量加密货币或有价值的不可替代代币（NFT）的个人持有人。

攻击链开始于威胁行为人通过不同的通信平台与受害者接触，诱使他们下载Windows和macOS的武器化加密货币应用程序，随后利用访问权在网络上传播恶意软件，并进行后续活动以窃取私钥并发起恶意区块链交易。

“入侵始于向加密货币公司的员工发送大量的矛式网络钓鱼信息，”该公告写道“。这些信息常常模仿招聘活动，提供高薪工作，诱使收件人下载带有恶意软件的加密货币应用程序”。

这远远不是该组织第一次部署自定义恶意软件来窃取加密货币。Lazarus集团发起的其他活动包括AppleJeus操作、抓取加密，以及最近利用木马化的DeFi钱包应用程序来后门Windows机器。

TraderTraitor威胁包括许多基于开源项目的假加密应用程序，声称是加密货币交易或价格预测软件，只是为了交付Manuscrypt remote access特洛伊木马，这是一种恶意软件，之前与该集团针对加密货币和移动游戏行业的黑客活动有关。

恶意应用列表如下

• DAFOM（DAFOM[.]开发人员）
• 代币AIS（代币[.]（com）
• CryptaIS（CryptaIS[.]（com）
• AlticGO（AlticGO[.]（com）
• 突出显示（突出显示[.]（com）
• 创建甲板（creaideck[.]（com）

财政部将Axie Infinity Ronin网络的加密货币盗窃案归咎于Lazarus集团，并批准了用于接收被盗资金的钱包地址，此后不到一周，就公布了这一消息。

这些机构表示：“朝鲜国家资助的网络行为者使用各种战术和技术，利用感兴趣的计算机网络，获取敏感的加密货币知识产权，并获取金融资产”。

“这些行为体可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来产生和洗钱资金，以支持朝鲜政权”。