贪婪的朝鲜黑客攻击加密货币和销售点终端

安全研究人员发现了一个新的广泛的针对加密货币用户的恶意软件活动，据信源于拉扎勒斯集团，一个与朝鲜政府有联系的国家支持的黑客组织。

自2009年以来，Lazarus集团一直活跃于许多备受关注的攻击中，包括索尼影业黑客攻击，从孟加拉国银行抢劫8100万美元，以及最新的—；瓦纳克里。

美国已正式将今年早些时候在150多个国家感染数十万台计算机的全球恶意勒索软件攻击归咎于朝鲜。

在另一条新闻中，安全专家指责Lazarus group从韩国Youbit交易所窃取了价值数百万美元的比特币，迫使其在损失17%的资产后关闭并申请破产。

安全公司Proofpoint的研究人员发布了一份新报告，揭示了Lazarus Group与针对加密货币用户和销售点系统的多阶段网络攻击之间的联系。

研究人员说：“该组织越来越关注出于财务动机的攻击，似乎正在利用加密货币日益增长的兴趣和飞涨的价格。”。“Lazarus集团的工具、植入物和开发武库非常广泛，并在不断开发。”

在分析了大量不同攻击向量的矛式网络钓鱼电子邮件后，研究人员发现了Lazarus Group arsenal的一种新的基于PowerShell的侦察植入物，名为PowerRatankba.

PowerRatankba使用的加密、模糊处理、功能、诱饵以及命令和控制服务器与Lazarus Group开发的原始Ratankba植入物非常相似。

PowerRatankba植入物通过以下攻击载体通过大规模电子邮件传播：

• Windows可执行下载程序，名为PowerSpritz
• 恶意Windows快捷方式（LNK）文件
• 几个恶意的Microsoft编译HTML帮助（CHM）文件
• 多个JavaScript（JS）下载程序
• 基于宏的Microsoft Office文档
• 隐藏在假冒网站上的流行加密货币应用程序

“在我们的研究过程中，我们发现，未运行加密货币相关应用程序的PowerRatankba的长期沙箱引爆从未感染Stage2植入物。这可能表明PowerRatankba运营商只对感染对各种加密货币有明显兴趣的设备所有者感兴趣，”文章写道38页长的报告[PDF]由Proofpoint出版。

一旦安装，Gh0st RAT允许网络犯罪分子窃取加密货币钱包和交易所的凭证。

值得注意的是，PowerRatankba和Gh0st RAT没有利用任何零日漏洞；相反，Lazarus Group依赖于混合编程实践，比如C&amp；C通过HTTP进行通信，使用Spritz加密算法和Base64编码的自定义加密程序。

研究人员说：“众所周知，Lazarus集团已经锁定并成功突破了几家著名的加密货币公司和交易所。”。“从这些违规行为中，执法机构怀疑该组织根据其今天的价值，已经积累了价值近1亿美元的加密货币。”

除了窃取加密货币，该组织还被发现感染了主要部署在韩国的SoftCamp销售点（POS）终端，使用RatankbaPOS恶意软件窃取信用卡数据。

因为RatankbaPOS共享相同的C&amp；C服务器作为PowerRatankba植入物，据信这两个植入物都与Lazarus集团有关。

加密货币价值的爆炸性增长不仅促使交易员，也促使黑客将所有时间和资源投入到创造数字财富中。

有关Lazarus Group发起的新恶意软件活动的更多详细信息，请参阅名为“[PDF]的深入报告。”朝鲜被比特币病毒叮咬—；以财务为动机的活动揭示了Lazarus集团的一个新层面周三由PowerPoint发布。