朝鲜黑客从全球加密货币初创公司窃取了数百万美元

与Lazarus子集团BlueNoroff有关联的运营商与一系列针对全球中小企业的网络攻击有关，目的是耗尽它们的加密货币资金。这是由这位多产的朝鲜国家赞助的参与者发起的又一次金融行动。

俄罗斯网络安全公司Kaspersky正在以“网络安全”的名义追踪入侵事件快照加密“这场战役从2017起就开始了，这次袭击的目标是中国、香港、印度、波兰、俄国、新加坡、斯洛文尼亚、捷克共和国、联合国、美国、乌克兰和越南的芬特科技公司的初创公司。

研究人员说：“攻击者一直在巧妙地滥用目标公司员工的信任，向他们发送一个功能齐全的带有监控功能的Windows后门，伪装成合同或其他业务文件。”。“为了最终清空受害者的加密钱包，该行为人开发了广泛而危险的资源：复杂的基础设施、漏洞攻击和恶意软件植入。”

BlueNoroff和更大的Lazarus umbrella以部署多种恶意软件而闻名，它们对企业进行多管齐下的攻击，以非法获取资金，包括依靠先进的网络钓鱼策略和复杂的恶意软件，因为制裁打击了朝鲜政权，并为其核武器和弹道导弹项目创造了收入。

如果说有什么区别的话，这些网络攻击正在获得巨大的回报。根据B链链分析公司Chanalytics发布的一份新报告，拉扎鲁斯集团已经与七家针对加密服务平台的攻击有关，仅在2021，就从2020美元的3亿美元中提取了近4亿美元的数字资产。

“这些攻击主要针对投资公司和中央交易所[…；]研究人员说：“从这些组织连接互联网的‘热门’钱包中抽取资金，进入朝鲜控制的地址。”一旦朝鲜获得这些资金的保管权，他们就开始了一个谨慎的洗钱过程，以“通过混合器”掩盖和兑现，从而掩盖线索。

记录在案的涉及该民族国家行为者的恶意活动的形式是针对外国金融机构的网络盗窃，尤其是2015-2016年的SWIFT银行网络黑客，最近的活动导致部署了一个名为AppleJeus的后门，该后门充当一个加密货币交易平台，用于掠夺并将资金转移到他们的账户。

加密攻击也不例外，因为它们是参与者努力“跟踪和研究”加密货币公司的一部分，通过精心策划的社会工程计划，伪装成合法的风险投资公司，与目标建立信任，只会诱使受害者打开带有恶意软件的文档，检索用于运行通过加密通道从远程服务器接收的恶意可执行文件的有效负载。

触发感染链的另一种方法是使用Windows快捷方式文件（“.LNK”）获取下一阶段的恶意软件，即Visual Basic脚本，然后作为跳转点执行一系列中间有效载荷，然后安装一个功能齐全的后门，该后门具有“丰富”的截图功能，记录击键，从Chrome浏览器窃取数据，并执行任意命令。

然而，这些攻击的最终目标是监控受损用户的金融交易并窃取加密货币。如果潜在目标使用类似Metamask的Chrome扩展来管理加密钱包，对手会悄悄地在本地用一个假版本替换扩展的主要组件，该版本会在每次向另一个帐户进行大额转账时提醒运营商。

在最后阶段，通过执行恶意代码注入，截获并根据需要修改交易细节，资金随后被转移。研究人员解释说：“攻击者不仅修改了收件人（钱包）的地址，而且还将货币金额推到了极限，基本上一步就耗尽了账户。”。

KnowBe4的安全意识倡导者埃里希·克朗在一份声明中说：“加密货币是网络犯罪的一个重点领域，因为货币的分散性，而且与信用卡或银行转账不同，交易发生得很快，不可能逆转。”。

克罗恩补充说：“民族国家，尤其是那些受到严格关税或其他金融限制的国家，可以通过窃取和操纵加密货币而受益匪浅。很多时候，加密货币钱包可以包含多种类型的加密货币，这使它们成为非常吸引人的目标。”。