恶意文档伪装手法高度进化…中国、俄罗斯遥遥领先
Upbit被黑,发现与Lazarus战术相似之处
数据显示,过去1年间发生的高级持续性威胁攻击(APT)中,有一半出自朝鲜黑客组织之手。金额达445亿韩元规模的虚拟资产交易所Upbit被黑事件背后,朝鲜侦察总局旗下黑客组织Lazarus被普遍视为最有力的嫌疑方。
根据AhnLab于30日发布的《2025年网络威胁动向与2026年安全展望》报告,对去年10月至今年9月期间公开的APT组织活动记录进行调查后发现,被提及次数最多的是Lazarus(31起),其后是同属朝鲜侦察总局旗下的另一黑客组织Kimsuky(27起)。APT是指在国家层面实施的精密且长期的黑客攻击方式。
同期按国家统计的活动次数中,朝鲜以86起位居首位,其次是中国27起,俄罗斯和印度各18起,巴基斯坦17起。
据AhnLab介绍,Lazarus和Kimsuky利用鱼叉式网络钓鱼、供应链攻击、多平台恶意代码、权限提升、多重身份验证(MFA)绕过等高度复杂的攻击技术,意在获取金钱利益和情报。尤其是Lazarus近期将攻击目标进一步扩展至虚拟资产、金融、信息技术(IT)、国防等领域。该组织开发了大量可同时支持Mac操作系统(OS)和Linux的多平台恶意代码,其中包含剪贴板监控、窃取加密货币钱包信息等功能。
Lazarus还通过利用软件漏洞的“Operation Sinkhole”行动,被确认至少已入侵韩国境内包括IT、金融在内的6家以上机构。其结构结合了在正常网站中植入恶意代码、诱使用户访问后即被感染的“水坑攻击”手法,并以在韩国广泛使用的软件漏洞为攻击通道。
在近期针对Upbit被黑事件的调查中,也发现了大量与Lazarus既有战术相似的点。Lazarus在攻击海外虚拟资产交易所时,一直综合使用篡改钱包签名流程、替换地址型恶意代码、绕过MFA、渗透供应链等手段。本次Upbit事件中,在签名过程中发生异常操作后大量资产被转出、转账路径被隐蔽分散处理、钱包地址存在被篡改的可能性等方面,都与以往Lazarus的攻击案例高度相似。
Kimsuky组织的特点则被指在于伪装和社会工程学式鱼叉钓鱼。该组织伪装成演讲邀请函或采访请求来传播恶意文件实施攻击。同时还利用俄罗斯邮箱域名或“naedomain.kr”等韩文免费域名隐藏来源。利用ISO文件或韩文文档发动攻击的案例也十分频繁。
Kimsuky在Facebook、Telegram等多种社交平台上展开多阶段攻击,近期还被捕捉到疑似使用基于人工智能(AI)的伪造身份证件的迹象。其下属小组“Larva-24005”被分析为具备窃取用户键盘输入的功能,“Larva-24009”则被分析为针对韩国用户实施基于链接的攻击。
此外,Andariel、Konni、TA-RedAnt等朝鲜APT组织也持续对韩国各类产业发动攻击。
AhnLab在报告中表示:“当黑客组织高度复杂的渗透技术与‘勒索软件即服务’(Ransomware as a Service, RaaS)机制相结合时,攻击成功率和损失规模都可能进一步扩大。”并称:“在朝鲜APT组织持续开发专门用于窃取虚拟资产的恶意代码之际,对数字高度依赖的韩国极有可能成为其重点攻击目标。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
