Lazarus Group 的 APT 渗透攻击展现了极高的技术水平和策略性,他们通过伪装身份诱导员工运行恶意程序,利用内网节点横向移动,最终篡改系统实现资金转移,这种攻击不仅依赖技术漏洞,还利用了企业内部信任关系,本文将逐步拆解其攻击流程,探讨如何通过加强安全措施和红蓝对抗演练来防范类似威胁,读完本文,你会对 APT 攻击有更清晰的认识,并了解如何提升企业安全防护能力。
朝鲜黑客组织 Lazarus Group 的 APT 渗透攻击 以其精密性和高效性著称。他们通过伪装身份、利用企业内部信任关系,逐步渗透系统并篡改关键程序,最终实现资金转移。本文将详细解析其攻击逻辑,帮助了解如何防范类似威胁。
慢雾最新报告揭示了 Lazarus Group 针对交易所的 APT 渗透攻击是如何一步步实现的。下面我们来看看具体的过程。
社会工程学攻击:
1)黑客通常会伪装成项目方、投资人或者第三方合作伙伴,主动联系公司的开发人员。这种社工手段在攻击中非常常见。
2)他们以调试代码、推荐开发工具或者市场分析程序为借口,诱导员工运行恶意程序。员工可能是被骗,也可能是被策反。
3)一旦恶意程序成功入侵,黑客就能获得远程代码执行权限,并进一步诱导员工提升权限,实现横向渗透。
内网渗透流程:
1)黑客通过单点突破的内网节点,对内网系统进行扫描,窃取关键服务器的 SSH 密钥。他们利用白名单信任关系横向移动,获取更多控制权限,扩大恶意程序的覆盖范围。
(一个疑问是,如果交易所的防护系统足够严密,为什么在渗透过程中没有预警出异常?慢雾的结论是,黑客利用了企业内部的基础设施,绕过了大部分安全设备的检测。这说明内网系统还需要加强红蓝对抗防渗透演练。)
2)通过持续的内网渗透,黑客最终获得了目标钱包关联服务器的控制权。他们更改了后端智能合约程序和多签名 UI 前端,实现了偷梁换柱。
(前后端都被篡改,黑客是如何绕过全程的日志数据的?另外,他们又是如何精准掌握钱包归集和大额转账的时间?这些疑点让人怀疑是否有内鬼配合。)
Lazarus APT 高级持续性渗透攻击原理,通俗版本:
我们可以把交易所的加密货币冷钱包想象成一个位于高级写字楼顶层的特殊保险库。
正常情况下,这个保险库有严格的安全措施:一个显示屏展示每笔转账信息,每次操作都需要多位高管同时到场,确认显示屏上的信息(比如「正在向 XX 地址转账 XXX 数量的 ETH」)。只有所有高管确认无误后,转账才能完成。
然而,黑客通过精心策划的渗透攻击,利用社工手段获得了大楼的「门禁卡」(入侵了初始电脑),成功混入大楼。接着,他们复制了一位核心开发人员的「办公室钥匙」(获取了重要权限)。有了这把「钥匙」,黑客就能悄悄潜入更多「办公室」(在系统内部进行横向渗透,获取更多服务器的控制权)。
最终,黑客摸到了控制保险库的核心系统。他们不仅更改了显示屏程序(篡改了多签 UI 界面),还修改了保险库内部的转账程序(更改了智能合约)。这样,当高管们看到显示屏上的信息时,看到的其实是经过篡改的虚假信息,而真实的资金则被转移到了黑客控制的地址。
Note:以上只是 Lazarus 黑客组织的惯用 APT 渗透攻击方法,& @Bybit_Official 事件目前并没有最终确凿的分析报告出来,因此仅作为参考,切勿对号入座!
最后,给& @benbybit 老板提个建议,Safe 这种更适合 DAO 组织的资产管理方式,只管正常调用执行,并不管调用的合法性验证。市场上有不少 FireBlocks、RigSec 之类更优的本地内控系统管理方案,在资产安全、权限管控、操作审计等方面都会有更好的配套表现。
