导 读
卡巴斯基全球研究和分析团队发现了一场由 Lazarus APT组织策划的复杂恶意活动,目标是全球加密货币投资者。
2024 年 5 月,卡巴斯基专家通过分析卡巴斯基安全网络遥测中的事件,发现了一次涉及 Manuscrypt 恶意软件的攻击,自 2013 年以来,Lazarus 已在各个行业的 50 多个有记录的活动中使用该恶意软件。
进一步的检查发现了一个复杂的恶意活动,该活动大量利用社会工程技术和生成式人工智能来利用加密货币投资者。
Lazarus 组织因其对加密货币平台的复杂攻击而臭名昭著,经常利用0day漏洞。新发现的活动也不例外,卡巴斯基研究人员发现了两个被利用的漏洞,包括谷歌 V8 JavaScript 和 WebAssembly 引擎中的一个未知类型混淆错误。
这个0day漏洞在被卡巴斯基报告后被修复,漏洞编号为 CVE-2024-4947,它允许执行任意代码,绕过安全功能和各种其他恶意活动。
另一个漏洞被用来绕过 Google Chrome 的 V8 沙盒保护。攻击者通过精心制作的虚假游戏网站利用这些漏洞,诱骗用户参与全球 NFT 坦克竞赛。
提供下载游戏测试版的恶意网站
为了提高该活动的可信度,他们付出了巨大的努力来建立信任,包括在 X(以前称为 Twitter)和 LinkedIn 等平台上创建社交媒体账户,并使用 AI 生成的图像进行宣传。
攻击者在 X 上的账户
Lazarus 还与加密货币影响者合作进一步推动该活动,旨在利用他们的社交媒体影响力来分发和直接瞄准他们的加密账户。
攻击者试图联系币圈有影响力的参与者
卡巴斯基全球研究和分析团队首席安全专家 Boris Larin 评论道:“虽然我们以前也见过 APT 攻击者追求经济利益,但这次活动却独一无二。攻击者超越了典型策略,利用功能齐全的游戏作为掩护,利用 Google Chrome 0day漏洞感染目标系统。”
“对于像 Lazarus 这样臭名昭著的攻击者来说,即使是看似无害的行为(例如点击社交网络或电子邮件中的链接)也可能导致个人电脑或整个公司网络的彻底入侵。在这次活动中投入的大量精力表明他们有一个雄心勃勃的计划,实际影响可能更为广泛,可能会影响全球用户和企业。”
卡巴斯基专家发现一款合法游戏似乎是攻击者版本的原型。在发起攻击后不久,真正的游戏开发者报告称,2 万美元的加密货币已从他们的钱包中转出。
假游戏的徽标和设计与原版游戏非常相似,徽标位置和视觉质量略有不同。
鉴于代码中的这些相似之处和重叠之处,卡巴斯基专家断言,Lazarus 成员采取了重大措施使他们的攻击合法化,他们使用窃取的源代码创建了一款假游戏,并修改了徽标和参考资料以加强其版本的真实性。
参考卡巴斯基官方博客:
https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/
新闻链接:
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
今日安全资讯速递
APT事件
Advanced Persistent Threat
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
FakeCall Android 木马不断演进,采用新的规避策略并增强了间谍功能
https://www.securityweek.com/fakecall-android-trojan-evolves-with-new-evasion-tactics-and-expanded-espionage-capabilities/
恶意广告活动劫持 Facebook 账户以传播 SYS01stealer 恶意软件
https://thehackernews.com/2024/10/malvertising-campaign-hijacks-facebook.html
研究人员发现针对加密钱包的恶意代码 Python 软件包
https://thehackernews.com/2024/10/researchers-uncover-python-package.html
黑客从暴露的 Git 配置文件中窃取 15,000 个云凭证
https://www.bleepingcomputer.com/news/security/hackers-steal-15-000-cloud-credentials-from-exposed-git-config-files/
意大利数据泄露事件影响 80 万公民
https://www.securityweek.com/italian-politicians-express-alarm-at-latest-data-breach-allegedly-affecting-800000-citizens/
WhiteRabbitNeo:以惊人的速度和精度识别和利用漏洞
https://www.securityweek.com/whiterabbitneo-high-powered-potential-of-uncensored-ai-pentesting-for-attackers-and-defenders/
漏洞事件
Vulnerability Incidents
新研究表明 Spectre 漏洞仍然存在于最新的 AMD 和 Intel 处理器中
https://thehackernews.com/2024/10/new-research-reveals-spectre.html
卡巴斯基工控系统安全专家发现 UnisocSoC 中存在安全漏洞
https://it-online.co.za/2024/10/28/kaspersky-ids-security-flaws-in-unisoc/
Google 修复 Apple 报告的 Chrome 严重漏洞
https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/
Synology、QNAP、TrueNAS 解决 Pwn2Own Ireland 上被利用的漏洞
https://www.securityweek.com/synology-qnap-truenas-address-vulnerabilities-exploited-at-pwn2own-ireland/
Opera 浏览器修复可能暴露信息的重大安全漏洞
https://thehackernews.com/2024/10/opera-browser-fixes-big-security-hole.html
研究人员发现开源 AI 和 ML 模型中的漏洞
https://thehackernews.com/2024/10/researchers-uncover-vulnerabilities-in.html
苹果修复了 iOS、macOS 和其他产品中的 70 多个漏洞
https://www.securityweek.com/apple-patches-over-70-vulnerabilities-across-ios-macos-other-products/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论