朝鲜的拉撒路集团正在发起针对加密和金融科技公司高管的新网络攻击行动。CertiK的安全研究人员周三披露了该行动,并将其命名为“Mach-O Man”。
该活动使用一种名为ClickFix的技术进入企业系统。攻击者通过Telegram向目标发送紧急会议邀请,指向看似标准的Zoom、Microsoft Teams或Google Meet链接。加载的页面是假的。它指示用户粘贴终端命令以修复所谓的连接问题。这样做后,攻击者能立即访问受害者的企业系统、SaaS平台和金融账户。
CertiK高级区块链安全研究员Natalie Newson告诉CoinDesk,该恶意软件由专为苹果环境设计的原生Mach-O二进制文件构建。它由Lazarus集团旗下的Chollima部门开发。该套件为模块化,其他犯罪团伙已开始在原始Lazarus活动之外使用。
纽森表示,这次攻击难以拦截,因为受害者会自行完成最后一步。页面看起来合法,说明也很常规,标准的安全控制也不是用来抓到用户选择粘贴命令的。等到发现任何漏洞时,恶意软件通常已经自我删除。
安全研究员弗拉基米尔·S.在X上指出,Mach-O Man的变体已经被用来劫持DeFi项目域名。在这些情况下,攻击者用虚假的Cloudflare验证页面替换了合法网站,要求访客执行终端命令作为例行安全检查的一部分。
威胁情报公司BCA Ltd.创始人毛罗·埃尔德里奇表示,该方法执行简单且难以阻止,因为它完全依赖目标自身的行动,而非技术漏洞。
自2017年以来,Lazarus集团已累计累计67亿美元的被盗资金。仅在过去一个月内,该组织就与Drift和KelpDAO的利用行为有关,这些事件总计耗资超过5亿美元。纽森表示,活动速度使Lazarus更像是一个国营金融机构,而非传统黑客组织。
纽森说:“这不是随机黑客攻击。”“这是一项由国家主导的金融行动,规模和速度都符合机构的典型水平。”她说,加密行业需要像银行对待国家级网络行为者那样对待拉撒路,视其为一个持续且资金充足、按机构时间线运作的威胁。
