朝鲜黑客绑在韩国的加密货币袭击
据安全研究人员称,据认为,据认为与朝鲜政府联系在朝鲜政府中,落后于韩国的加密货币交易所。
黑客集团以前已与其他几个活动相关联,包括2014年索尼图片娱乐的毁灭2014年网络攻击以及2017年全球崇拜攻击。
直到2015年,Lazarus集团主要集中在韩国和美国政府和金融组织,但2016年研究人员在旨在窃取金钱和为朝鲜产生资金的攻击方面发现了转变。
到2017年,朝鲜演员开始专注于加密货币。第一个已知的朝鲜加密货运运营于2017年2月,韩国横跨韩国汇率7分钟的加密。
截至2017年底,有几位研究人员报告过韩国加密货币,无数乐的盗窃和均匀荷兰和蒙罗马族的申请表的Photalspear网络钓鱼活动。
安全公司的研究人员记录了未来现在将Lazarus集团联系起来的矛网络钓鱼活动,针对加密货币用户和韩国交流,以及对外交事务的韩国大学生。
该活动中的恶意软件包括中文条款,研究人员表示指示尝试的虚假标志或中国利用供应商。
有问题的漏洞利用是GhostScript Exploit(CVE-2017-8291),它已经量身定制,只针对Hancom的Hancul Word处理器的用户,这是一个广泛应用于韩国的韩国文字处理器。
研究人员表示,朝鲜国家赞助的演员使用过去的漏洞(CVE-2015-6585)和恶意文件,包括在2017年初Asouth韩国网络钓鱼活动期间。
该竞选活动仅在朝鲜领导人Kim Jong-联合国新年的讲话和随后的南北对话之前推出了几周,并恰逢比特币加密货币的价值急剧上升,安全评论员认为将越来越受到网络攻击者的关注。
“我们发现的竞选活动展示了Lazarus TTPS [策略,技术和程序]对韩国的加密货币和社会机构的清晰使用,”研究人员表示。
除了韩国语韩国用户之外,研究人员发现,这项运动的目标包括韩国加密货币的用户,以及一个名为“商业部的朋友”(外交部),这是一群来自韩国围绕韩国的大学生“对外事的浓厚兴趣。”
据研究人员来说,GhostScript Exploit可以从Hangul Word处理器文档中的嵌入式后标中触发。
“攻击链发生在多个阶段,并使用PostScript DeoffUting一个具有硬件四字节键的XORED的第一阶段shellcode。反过来,sellecode触发了执行嵌入式DLL的GhostScript漏洞,这是一个博客文章。
“在deobfusing载荷上,我们发现部分地构建了32位DLL,部分内置了Destover恶意软件代码。堕落已被用于一些朝鲜归因于朝鲜归因于2014年1月的波兰银行攻击,最令人震惊的索尼图片娱乐,并于2017年2月的第一个Wannacry受害者,“他们说。
研究人员发现这一竞选活动依赖于拆除失去意义商代码的多个有效载荷,以收集有关受害者系统和exfiltrate文件的信息。
研究人员认为,2017年底竞选是朝鲜对朝鲜对加密货币的兴趣,这包括广泛的活动,包括采矿,赎金软件和盗窃。
“在卫生袭击之外,大多数朝鲜加密货运运营都有针对韩国用户和交流,但我们预计这一趋势将在2018年发生变化。
“我们评估韩国通过增加安全性(Andpossield禁止的加密货币交易)来响应这些企图盗窃,他们将成为更加困难的目标,迫使朝鲜演员在研究人员中迫使朝鲜演员在其他国家进行交流和用户,”“