携带虚假的Zoom通话、被盗的身份和恶意软件,朝鲜的Lazarus集团据称已扩大其加密货币渗透策略,而行业已开始感受到影响。
以太坊第二层项目Manta Network的联合创始人Kenny Li在周四的一条推文中表示,他在一次由Lazarus集团精心策划的Zoom钓鱼尝试中被"盯上"。
Li的一位熟悉的联系人安排了一个Zoom通话,摄像头上出现了熟悉的面孔,但没有人说话。然后出现了一个提示,敦促Li下载一个脚本来修复音频。
"我能看到他们真实的面孔。一切看起来都非常真实,"他周四写道。"但我听不到他们的声音……它要求我下载一个脚本文件。我立即退出了。"
为了验证联系人,Li要求改在Google Meet上继续对话。冒充者拒绝了,片刻之后,所有消息都被删除,Li被屏蔽。
"Lazarus的社交工程正变得相当高明,"他在后续推文中补充道,并表示这次钓鱼尝试可能使用了深度伪造或"之前通话中被感染/黑客攻击的人的录音"。
Li表示他"不确定"这次钓鱼尝试是Lazarus集团的作为,但根据安全研究人员的说法,这符合该黑客组织的作案手法。Decrypt已联系Li,如果他回复将更新此报道。
这一事件是最近归因于Lazarus的几起攻击之一,该集团是朝鲜国家支持的黑客部队,对历史上一些最大的加密货币盗窃负有责任。
该集团已被链接到2月份价值14亿美元的Bybit黑客攻击,据报正在改变策略,通过混合使用深度伪造视频、恶意软件和社交工程来欺骗甚至经验丰富的加密货币高管。
根据Paradigm安全研究员Samczsun和谷歌威胁情报小组(GTIG)的最新研究,Lazarus只是朝鲜庞大网络网络装置的一个分支。
该政权现在部署了一个黑客子组织网络,如AppleJeus、APT38和TraderTraitor,使用的策略从虚假工作邀约和Zoom通话到感染npm包和勒索等不等。
安全联盟(SEAL)的Nick Bax,一个由白帽黑客和安全研究人员组成的集体,在3月发出警告:"在Zoom通话中遇到音频问题?那不是风投,而是朝鲜黑客。"
他描述了这种伎俩:聊天消息提到音频问题,熟悉的面孔出现在视频中,受害者被重定向下载恶意软件。"他们利用人类心理,"他写道。"一旦你安装补丁,你就完蛋了。"
Web3平台MON Protocol(用于链上游戏和知识产权)的联合创始人Giulio Xiloyannis分享了类似的经历。一个冒充项目负责人的黑客要求他在通话中切换到Zoom链接。
"当我看到一个Gumicryptos合作伙伴和一个Superstate的人说话时,我意识到有些不对劲,"他在推特上发文,并分享了屏幕截图以警告他人。
根据最近的GTIG报告,朝鲜IT工作者现在正在渗透美国、英国、德国和塞尔维亚的团队,伪装成开发者,使用虚假简历和伪造文件。
"朝鲜黑客对我们的行业构成了日益增长的威胁,"Samczsun写道,敦促公司采取基本防御措施,如最小权限访问、双重认证、设备隔离,并在发生breach时联系SEAL 911等组织。
