紧急！朝鲜Lazarus集团盯上BitMEX员工，LinkedIn钓鱼攻击再升级！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在加密货币行业的安全战场上，一场惊心动魄的防御战刚刚落幕！全球知名加密交易所BitMEX披露，成功拦截朝鲜关联的Lazarus集团发起的钓鱼攻击。此次攻击中，黑客竟以“Web3 NFT合作”为诱饵，通过LinkedIn精准锁定员工，其手法之隐蔽、目标之明确，再次为行业敲响警钟！  

一、攻击全流程：从职场社交到恶意植入  

BitMEX安全团队还原了此次攻击的惊险细节：  

1. 社交钓鱼诱饵：  

   攻击者伪装成“Web3项目负责人”，在LinkedIn向BitMEX员工发送合作邀约，声称“提供独家NFT发行机会”，附带看似专业的项目白皮书链接；  

   文档标题为《Web3FTollaborationroposal2.0.pdf》，后缀实为恶意程序（.pdf.exe），利用Windows默认隐藏文件扩展名的特性欺骗用户。  

2. 恶意代码执行：  

   一旦员工点击链接下载文件并运行，程序立即释放信息窃取木马，试图窃取浏览器保存的Cookie、交易所账户凭证及私钥；  

   木马同时连接远程C2服务器（域名为web3ollab[.]xyz），准备接收后续攻击指令。  

3. 防御拦截：  

   BitMEX端点检测系统（EDR）实时识别异常进程，在木马尝试读取钱包文件前触发阻断，并自动隔离感染设备；  

   安全团队溯源发现，攻击所用域名与Lazarus集团2024年攻击币安、OKX时的基础设施高度重叠，确认其组织归属。  

二、Lazarus的“跨界战术”：从交易所到社交平台  

作为朝鲜头号加密货币盗窃集团，Lazarus的攻击策略正呈现“职场社交渗透+技术伪装升级”特点：  

精准定位：  

  利用LinkedIn的职场社交属性，定向搜索加密行业从业者（如区块链开发人员、交易所运营人员），通过“合作洽谈”“行业研讨”等名义建立信任；  

技术伪装：  

  恶意文件命名贴合行业热点（如NFT、Web3、DeFi），图标伪装成PDF或Excel，降低用户警惕；  

  采用无文件攻击（Fileless Attack）技术，木马代码直接在内存中运行，不落地存储，绕过传统杀毒软件检测；  

数据收割：  

  除窃取加密货币资产外，Lazarus还会收集受害者的通讯录、会议记录等信息，为后续“供应链攻击”（如入侵受害者所在公司的合作伙伴）铺路。  

三、行业危机：2024年13.4亿美元盗窃背后的黑客帝国  

BitMEX的此次拦截，仅是Lazarus集团猖獗活动的冰山一角。据Chainalysis报告，该组织2024年通过钓鱼、漏洞攻击等手段，累计窃取加密货币超13.4亿美元，成为朝鲜外汇收入的重要来源。其攻击呈现三大趋势：  

1. 目标多元化：  

   从头部交易所（如Binance、FTX）延伸至中小交易平台、钱包服务商甚至个人KOL，“广撒网+重点捕捞”策略提升成功率；  

2. 技术平民化：  

   不再依赖复杂漏洞，转而利用“社工+基础木马”的组合，攻击成本降低但渗透率显著提升；  

3. 洗钱产业化：  

   通过Tornado Cash混币、OTC场外交易、伪装成合法企业转账等方式，72小时内即可将赃款洗白为法币或稳定币。  

四、防御指南：加密从业者的“社交安全法则”  

面对Lazarus的新型攻击，个人与企业需构建“社交术理”三维防御体系：  

个人层面：  

1. 社交平台风控：  

   LinkedIn等职场账号设置为“仅接受好友申请”，对陌生人的合作邀约保持警惕；  

   对“高价值、低门槛”的合作（如“无需审核即可参与的NFT项目”），通过官方渠道验证邀约真实性。  

2. 文件安全策略：  

   开启Windows“显示文件扩展名”功能，拒绝运行后缀异常的文件（如.pdf.exe、.docx.zip）；  

   使用在线病毒扫描工具（如VirusTotal）检测可疑文件，避免直接在办公设备运行。  

3. 多因素认证（MFA）：  

   为交易所、钱包账户启用硬件令牌（如YubiKey）或生物识别认证，即便凭证泄露也能阻断登录。  

企业层面：  

1. 员工安全培训：  

   定期开展“社交工程攻击模拟演练”，测试员工对钓鱼邮件、虚假合作邀约的识别能力；  

   建立“外部合作审核流程”，所有商务沟通需通过企业官方邮箱及会议系统进行，禁止使用个人社交账号对接业务。  

2. 技术防御升级：  

   部署邮件网关+终端检测联动系统，对含行业关键词（如NFT、空投）的附件实施沙箱隔离检测；  

   限制员工办公设备访问高风险域名（如.xyz、.club等常用于钓鱼的顶级域名）。  

3. 供应链安全审查：  

   要求合作伙伴提供安全审计报告，确认其未使用Lazarus相关基础设施（如已知C2域名、IP）；  

   对涉及资金操作的API接口，实施“动态密钥+实时流量监控”，防止内部人员误操作引发泄露。  

五、行业呼吁：建立加密领域“反钓鱼联盟”  

BitMEX此次成功防御，得益于其与Chainalysis、Elliptic等安全机构的威胁情报共享机制。然而，仍有大量中小交易所因缺乏资源，难以抵御类似攻击。对此，行业需采取行动：  

情报互通：成立加密行业反钓鱼联盟，实时共享Lazarus等组织的钓鱼域名、社工话术、恶意文件特征；  

监管介入：推动SEC等监管机构要求交易所披露“钓鱼攻击防御措施”，将社交平台安全纳入合规审计范围；  

技术开源：头部企业开源“社交钓鱼检测工具”，帮助中小平台提升防御能力。  

结语：当职场社交成为攻击入口，警惕每一次“合作邀请”  

Lazarus集团的攻击再次证明，在加密货币行业，“创新”与“风险”始终并存。从LinkedIn到交易所后台，从NFT合作到恶意木马，黑客的渗透路径早已突破传统边界。作为从业者，我们必须记住：每一次看似普通的社交互动，都可能是精心策划的攻击起点。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：紧急！朝鲜Lazarus集团盯上BitMEX员工，LinkedIn钓鱼攻击再升级！