幻影行动：朝鲜的全球数据渗透运动

2024 年 12 月，一次例行软件更新掩盖了全球威胁。来自朝鲜的 Lazarus Group 的攻击者入侵了受信任的开发工具，导致全球数百名受害者受害。这场代号为“Phantom Circuit”的复杂攻击针对加密货币和技术开发者，通过俄罗斯哈桑的代理服务器采用先进的混淆技术。

STRIKE 对“Phantom Circuit”的调查揭示了 Lazarus Group 策略的重大转变：将恶意软件直接嵌入受信任的应用程序中。“这种方法可以实现广泛影响和长期访问，同时避免检测，”STRIKE 研究和威胁情报高级副总裁 Ryan Sherstobitoff 解释道。

调查

STRIKE 的调查始于 99 号行动，揭露了 Lazarus Group 对命令和控制 (C2) 服务器的使用。这些服务器自 2024 年 9 月起活跃，构成了管理和泄露被盗数据的复杂基础设施的支柱。进一步的分析揭示了一个隐藏的管理平台，旨在查看和过滤数据。

“这些服务器包括一个完整的管理平台，用于管理全球受感染的系统，”Sherstobitoff 解释道。“这个基础设施展现出的规划和复杂程度超出了预期。”此处阅读完整报告https://securityscorecard.com/wp-content/uploads/2025/01/Operation-Phantom-Circuit-Report_012725_03.pdf

基础设施与运营

Lazarus Group 使用服务器和工具网络进行此次攻击。其基础设施包括命令和控制服务器、欺骗域和持久远程管理会话。通过将恶意软件嵌入受信任的开发工具中，攻击者确保了大范围入侵，同时保持了隐秘性。

STRIKE 记录了该行动中的几个关键 C2 服务器。它们的作用是提供有效载荷并收集受害者的数据

证据链

STRIKE 观察到，此次行动的基础设施是分层的，流量来自朝鲜 IP 地址，并通过 VPN 和代理网络。这些连接将流量路由到俄罗斯哈桑的 Oculus Proxy 节点，然后到达命令和控制服务器。这种精心设计确保了每一步的匿名性和规避性。

1. 初始连接：朝鲜 IP 地址包括175.45.178.130、175.45.176.27、175.45.178.14、175.45.178.9、175.45.178.11和175.45.178.10 ，是此次行动的起点。

2. VPN 混淆：这些 IP 连接到Astrill VPN端点，包括70.39.70.196、204.188.233.68、45.58.143.196、70.39.70.197和199.115.99.62 ，以隐藏其真实来源。

3. 代理中继：流量通过Oculus 代理网络路由，具体来说是注册在俄罗斯哈桑 Sky Freight Limited 的 IP 83.234.227.49、83.234.227.50、83.234.227.51和83.234.227.53 。这些代理充当了额外的匿名层。

4. 命令和控制服务器：代理连接最终到达Stark Industries服务器上托管的C2 基础设施。这些服务器处理与受感染系统的通信并管理泄露的数据。

5. 数据泄露至 Dropbox ：从 C2 服务器，被盗数据被上传到Dropbox ，攻击者在那里存储和组织被泄露的信息以供进一步使用。

这种精心设计的基础设施使 Lazarus Group 能够保持持续访问、逃避检测并安全地泄露敏感信息，同时隐藏其每一步的操作。

这种模式不断重复，表明攻击者故意采用结构化方法来掩盖其真实来源。持久的 RDP 会话（有些会话长达 10 天）使攻击者能够直接访问受感染的系统，对数据完整性和系统恢复构成重大风险。

妥协的规模

幻影行动分三波展开，危害了全球超过 1,500 个系统：

• 2024 年 11 月：目标开发者为 181 名，主要集中在欧洲科技领域。

• 2024年12月：扩展到全球数百名开发人员，主要热点在印度（284名受害者）和巴西（32名受害者）。

• 2025 年 1 月：新增 233 名受害者，其中仅印度科技领域的系统就有 110 个。

攻击者窃取了关键数据，包括开发凭据、身份验证令牌、浏览器存储的密码和系统信息。一旦被 C2 服务器收集，数据就会被传输到 Dropbox，在那里进行组织和存储。与 Dropbox 的持续连接凸显了攻击者的系统性方法，一些服务器保持活动会话超过五个小时。

攻击基础设施内部Lazarus Group 的管理平台展示了其管理被盗数据的先进能力。这个定制面板旨在精确搜索、过滤和组织被窃取的信息，强调效率和控制。

该平台的主要特点：

• 系统跟踪：监控设备详细信息，包括电脑名称、操作系统和配置。

• 凭证管理：收集 URL、浏览器存储的凭证和身份验证令牌以供利用。

• 活动日志：跟踪受害者互动的时间戳以简化操作。

STRIKE 的分析显示，管理平台是一个由现代框架驱动的强大系统。后端基于 Node.js 构建，公开了多个 API 端点，可提供精细的操作控制。对Config.js和App.js等文件的静态分析揭示了攻击者与这些端点交互并系统地管理被盗数据的能力。

现代基础设施设计

React 和 Node.js 的使用表明 Lazarus Group 已转向可扩展的现代攻击基础设施。将高级管理工具集成到其命令和控制 (C2) 服务器中，彰显了其高水平的规划和技术专长。

应用程序结构仔细检查平台的结构可以发现几个功能层：

隐藏页面和接入点：

分析App.js揭示了登录墙后面隐藏页面路径的详细信息。这些页面有助于对受感染系统进行精确控制，使操作员能够高效地管理数据。

受害者数据管理：信息页面在分析过程中无法访问，但可以检索和显示泄露的受害者数据。仔细检查服务器的 JavaScript 文件可以发现其功能，包括收集和管理以下功能：

• PC 名称和 URL

• 密码和凭证

• 系统配置详细信息

数据流：后端设计用于通过/keys API 端点从植入物中提取和过滤数据，从而允许操作员搜索特定信息并组织数据以供进一步使用。

“该平台的精确度和定制化程度令人担忧，”Sherstobitoff 补充道。“这表明，他们刻意大规模管理被盗数据，同时逃避检测。”

通过将这些先进的工具嵌入到其基础设施中，Lazarus Group 展示了一种先进的全球网络运营方法，以最小的暴露风险保持对受损系统和被盗数据的控制。

对全球发展的影响

Lazarus Group 的活动针对的是加密货币和身份验证系统中使用的应用程序，将恶意软件嵌入受信任的软件包中。开发人员在不知情的情况下将这些受感染的软件包纳入他们的项目中，从而将恶意代码引入生产环境。

STRIKE 观察到攻击者窃取了敏感的开发凭据、身份验证令牌和系统配置详细信息。在 C2 服务器收集数据后，最后将数据传输到 Dropbox，在那里进行存储和组织。与 Dropbox 的持续连接凸显了他们行动的井然有序性；例如，一台服务器保持了超过五个小时的活动会话。

此次活动与朝鲜利用网络攻击为国家项目提供资金的记录一致。报告估计，2017 年至 2023 年间，朝鲜通过加密货币盗窃获利 17 亿美元，这凸显了全球组织验证软件依赖关系并监控其开发环境的必要性。

俄罗斯代理连接

Oculus 代理托管在俄罗斯 Sky Freight 代理端点的资产上，这对 Lazarus 的混淆策略起到了关键作用。五个 IP 地址（83.234.227.49 至 83.234.227.53）负责 VPN 出口和 C2 服务器之间的流量路由。

OSINT 信息将此基础设施归因于 Oculus Proxy 服务，这是攻击者用来路由流量的商业服务。通过利用合法的代理网络，Lazarus 为其操作增加了一层合法性，进一步增加了检测工作的复杂性。

同一网络范围内的多个端点与去年报告的一起案件有关，该案件中，一名个人与朝鲜国家行为者有直接互动。这些行为者伪装成招聘人员或工作来源。STRIKE 设法将代理 IP 追溯到与 Phantom Circuit 行动相关的一些相同的 Astrill VPN。

此外，我们观察到，一个 Astrill VPN（存在于 Phantom Circuit 中）连接到去年案例中提到的一个代理，也可以追溯到平壤，具体来说是 IP 175.45.176.68 和 175.45.178.10。

竞争假设分析 (ACH)

STRIKE 采用了 CIA 的竞争假设分析 (ACH) 方法来评估“幻影电路”活动的起源。评估考虑了多种情况，证据强烈支持 Lazarus Group 是主要参与者。

评估的假设：

H1 ：拉撒路集团（朝鲜）负责。

H2 ：非国家行为者正在冒充拉撒路。

H3 ：多位演员合作，其中拉扎勒斯只扮演部分角色。

H4 ：由于相似的策略和技术导致的错误归因。

调查结果：

• STRIKE 发现了与朝鲜 IP 的直接联系以及与 Lazarus 一致的策略，包括供应链妥协和对加密货币盗窃的关注。

• 该活动的规模和定制工具反映的是与国家支持的团体而非独立参与者的能力。

• 没有证据表明该组织与其他团体合作或冒充其他团体。

根据这一分析，STRIKE 高度确信“幻影电路”是拉撒路集团所为，这符合该集团历来通过盗窃加密货币来资助国家项目的做法。

防御供应链攻击

幻影电路行动强调了组织机构保护其软件供应链的迫切需要。STRIKE 建议采取以下措施来降低风险：

• 包验证：使用加密校验和或签名验证软件更新的完整性。

• 网络监控：分析与恶意活动相关的不常见端口（例如 1224 和 1245）的连接。

• 代理检测：识别并阻止可疑的代理使用，特别是与恶意活动相关的商业服务。

• 开发工具审计：定期审查和更新开发工具以识别和缓解漏洞。

• 远程访问审查：监控可能表明未经授权访问的持久远程桌面协议 (RDP) 会话。

这些实践强调了主动安全措施在保护关键开发环境免受不断演变的威胁方面的重要性。

联系 STRIKE 进行事件响应

如果您怀疑您的组织受到了“幻影电路行动”、“99 号行动”或类似 Lazarus 活动的影响，请立即联系 STRIKE 事件响应团队。我们的专家提供：

• 快速遏制：最大限度地减少损害并制止正在发生的违规行为。

• 法医分析：了解攻击者如何获得访问权限以及哪些数据受到了影响。

• 战略指导：加强安全态势，抵御不断演变的威胁。

主动降低供应链风险为了保护您的组织免受未来供应链攻击，SecurityScorecard 的供应链检测和响应 (SCDR) 解决方案提供了以下工具：

• 监控评估您的软件供应链中是否存在漏洞。

• 检测开发管道中的可疑活动。

• 获得可行的见解来预防像“幻影电路”这样的高级威胁。

原文始发于微信公众号（Ots安全）：幻影行动：朝鲜的全球数据渗透运动