慢雾安全团队揭秘 Lazarus Group 入侵手法

链捕手Publicado a 2025-02-24Actualizado a 2025-02-24

原文标题:《加密货币 APT 情报:揭秘 Lazarus Group 入侵手法》

作者: 23pds & Thinking (慢雾安全团队)

编译:lenaxin,ChainCatcher

背景

自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查,我们完成了对黑客攻击手法和入侵路径的复盘。结果表明,这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪,我们确认攻击者正是 Lazarus Group 。

在获取相关 IOC (入侵指标)和 TTP (战术、技术与程序)后,我们第一时间将该情报同步给合作伙伴。同时,我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过,相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警,在安全团队的及时响应下,攻击被成功阻断。

鉴于近期针对加密货币交易所的 APT 攻击持续发生,形势愈发严峻,我们在与相关方沟通后,决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布,以便社区伙伴能够及时防御和自查。同时,受保密协议限制,我们无法披露过多合作伙伴的具体信息。接下来,我们将重点分享攻击的 IOC 和 TTP 。

攻击者信息

攻击者域名:

  • gossipsnare [.] com , 51.38.145.49:443
  • showmanroast [.] com , 213.252.232.171:443
  • getstockprice [.] info , 131.226.2.120:443
  • eclairdomain [.] com , 37.120.247.180:443
  • replaydreary [.] com , 88.119.175.208:443
  • coreladao [.] com
  • cdn . clubinfo [.] io

涉及事件的 IP :

  • 193.233.171[.]58
  • 193.233.85[.]234
  • 208.95.112[.]1
  • 204.79.197[.]203
  • 23.195.153[.]175

攻击者的 GitHub 用户名:

  • https :// github . com / mariaauijj
  • https :// github . com / patriciauiokv
  • https :// github . com / lauraengmp

攻击者的社交账号:

  • Telegram : @ tanzimahmed88

后门程序名称:

  • StockInvestSimulator - main . zip
  • MonteCarloStockInvestSimulator - main . zip
  • 类似 … StockInvestSimulator - main . zip 等

真实的项目代码:

 ( https :// github . com / cristianleoo / montecarlo - portfolio - management )

攻击者更改后的虚假项目代码:

对比后会发现, data 目录多了一个 data _ fetcher . py 文件,其中包含一个奇怪的 Loader :


攻击者使用的后门技术

攻击者利用 pyyaml 进行 RCE (远程代码执行),实现恶意代码下发,从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后,我们又获取了多个类似的恶意样本。

关键技术分析参考: https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

慢雾安全团队通过对样本的深入分析,成功复现了攻击者利用 pyyaml 进行 RCE (远程代码执行)的攻击手法。

攻击关键分析

目标和动机

目标:攻击者的主要目标是通过入侵加密货币交易所的基础设施,获取对钱包的控制权,进而非法转移钱包中的大量加密资产。

动机:试图窃取高价值的加密货币资产。

技术手段

1. 初始入侵

  • 攻击者利用社会工程学手段,诱骗员工在本地设备或 Docker 内执行看似正常的代码。
  • 在本次调查中,我们发现攻击者使用的恶意软件包括 ` StockInvestSimulator - main . zip ` 和 ` MonteCarlo StockInvestSimulator - main . zip `。这些文件伪装成合法的 Python 项目,但实则是远程控制木马,并且攻击者利用 pyyaml 进行 RCE ,作为恶意代码的下发和执行手段,绕过了大多数杀毒软件的检测。

2. 权限提升

  • 攻击者通过恶意软件成功获取员工设备的本地控制权限,并且诱骗员工将 docker - compose . yaml 中的 privileged 设置为 true 。
  • 攻击者利用 privileged 设置为 true 的条件进一步提升了权限,从而完全控制了目标设备。

3. 内部侦察和横向移动

  • 攻击者利用被入侵的员工电脑对内网进行扫描。
  • 随后,攻击者利用内网的服务和应用漏洞,进一步入侵企业内部服务器。
  • 攻击者窃取了关键服务器的 SSH 密钥,并利用服务器之间的白名单信任关系,实现横向移动至钱包服务器。

4. 加密资产转移

  • 攻击者成功获得钱包控制权后,将大量加密资产非法转移至其控制的钱包地址。

5. 隐藏痕迹

  • 攻击者利用合法的企业工具、应用服务和基础设施作为跳板,掩盖其非法活动的真实来源,并删除或破坏日志数据和样本数据。

过程

攻击者通过社会工程学手段诱骗目标,常见方式包括:

1. 伪装成项目方,寻找关键目标开发人员,请求帮助调试代码,并表示愿意提前支付报酬以获取信任。

我们追踪相关 IP 和 ua 信息后发现,这笔交易属于第三方代付,没有太多价值。

2. 攻击者伪装成自动化交易或投资人员,提供交易分析或量化代码,诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行,它会建立持久化后门,并向攻击者提供远程访问权限。

  • 攻击者利用被入侵设备扫描内网,识别关键服务器,并利用企业应用的漏洞进一步渗透企业网络。所有攻击行为均通过被入侵设备的 VPN 流量进行,从而绕过大部分安全设备的检测。
  • 一旦成功获取相关应用服务器权限,攻击者便会窃取关键服务器的 SSH 密钥,利用这些服务器的权限进行横向移动,最终控制钱包服务器,将加密资产转移到外部地址。整个过程中,攻击者巧妙利用企业内部工具和基础设施,使攻击行为难以被快速察觉。
  • 攻击者会诱骗员工删除调试运行的程序,并且提供调试报酬,以掩盖攻击痕迹。

此外,由于部分受骗员工担心责任追究等问题,可能会主动删除相关信息,导致攻击发生后不会及时上报相关情况,使得排查和取证变得更加困难。

应对建议

APT (高级持续性威胁)攻击因其隐蔽性强、目标明确且长期潜伏的特点,防御难度极高。传统安全措施往往难以检测其复杂的入侵行为,因此需要结合多层次网络安全解决方案,如实时监控、异常流量分析、端点防护与集中日志管理等,才能尽早发现和感知攻击者的入侵痕迹,从而有效应对威胁。慢雾安全团队提出 8 大防御方向和建议,希望可以为社区伙伴提供防御部署的参考:

1. 网络代理安全配置

目标:在网络代理上配置安全策略,以实现基于零信任模型的安全决策和服务管理。 

解决方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防护

目标:在 DNS 层实施安全控制,检测并阻止解析已知恶意域名的请求,防止 DNS 欺骗或数据泄露。 

解决方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 网络流量/主机监控与威胁检测

目标:分析网络请求的数据流,实时监测异常行为,识别潜在攻击(如 IDS/IPS),服务器安装 HIDS,以便尽早发现攻击者的漏洞利用等攻击行为。 

解决方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 网络分段与隔离

目标:将网络划分为较小的、相互隔离的区域,限制威胁传播范围,增强安全控制能力。 

解决方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平台安全组策略等。

5. 系统加固措施

目标:实施安全强化策略(如配置管理、漏洞扫描和补丁更新),降低系统脆弱性,提升防御能力。 

解决方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端点可见性与威胁检测

目标:提供对终端设备活动的实时监控,识别潜在威胁,支持快速响应(如 EDR),设置应用程序白名单机制,发现异常程序并及时告警。

解决方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日志管理与分析

目标:将来自不同系统的日志数据整合到统一平台,便于安全事件的追踪、分析和响应。

解决方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培养团队安全意识

目标:提高组织成员安全意识,能够识别大部分社会工程学攻击,并在出事后主动上报异常,以便更及时进行排查。

解决方案:区块链黑暗森林自救手册 (https://darkhandbook.io/), Web3 钓鱼手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外,我们建议周期性开展红蓝对抗的演练,以便识别出安全流程管理和安全防御部署上的薄弱点。

写在最后

攻击事件常常发生在周末及传统节假日期间,给事件响应和资源协调带来了不小的挑战。在这一过程中,慢雾安全团队的 23pds (山哥), Thinking , Reborn 等相关成员始终保持警觉,在假期期间轮班应急响应,持续推进调查分析。最终,我们成功还原了攻击者的手法和入侵路径。

回顾本次调查,我们不仅揭示了 Lazarus Group 的攻击方式,还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时,我们基于实际案例总结了针对 APT 攻击的防御建议,希望能为行业提供参考,帮助更多机构提升安全防护能力,减少潜在威胁的影响。网络安全对抗是一场持久战,我们也将持续关注类似攻击,助力社区共同抵御威胁。

Criptos en tendencia

Lecturas Relacionadas

Cuenta atrás para el Día-Q: ¿La computación cuántica acabará con las criptomonedas?

**Resumen: Cuenta atrás para el Q-Day: ¿Pondrá fin la computación cuántica a las criptomonedas?** La computación cuántica supone una amenaza existencial para la criptografía de clave pública (como RSA y ECC) que sustenta Internet y las cadenas de bloques. El algoritmo de Shor podría romper estos sistemas de forma eficiente. El "Q-Day", el momento en que esto sea factible, se estima entre 2030-2045. La criptografía post-cuántica (PQC), con algoritmos basados en retículos (lattice, como ML-KEM/DSA) o hashes (como SLH-DSA), es la solución. Estándares como FIPS 203-205 ya están definidos. La migración es urgente según la "desigualdad de Mosca": el tiempo de vida de los datos más el tiempo de migración debe ser mayor que el tiempo hasta el Q-Day. Para el ecosistema blockchain, el riesgo no es uniforme. Los activos en riesgo son aquellos cuyas claves públicas ya están expuestas en la cadena (por ejemplo, antiguas direcciones BTC no gastadas). La amenaza es una prueba de presión para sus pilares: libro de contabilidad público, transferencias irreversibles y autogestión de claves. **Bitcoin** se enfrenta principalmente a un desafío de gobernanza y consenso social. Migrar requiere un soft fork y lidiar con UTXO heredados de alto valor. Las firmas PQC son mucho más grandes, lo que impacta en el tamaño de los bloques y las tarifas. **Ethereum** aborda el problema con una hoja de ruta "Lean" y agilidad criptográfica. Utiliza la abstracción de cuentas (AA) para migrar firmas de usuario de forma gradual, y explora reemplazos para las firmas BLS de consenso (como leanXMSS con compresión SNARK) y para los compromisos de datos (KZG). La ventana para una migración coordinada de todo el ecosistema (protocolos, carteras, exchanges) es de 5 a 8 años. La computación cuántica no es un "arma del juicio final", sino un catalizador para una reconstrucción criptográfica. El mayor cuello de botella no es técnico, sino la compleja coordinación y gobernanza necesarias para una transición a tiempo.

marsbitHace 3 hora(s)

Cuenta atrás para el Día-Q: ¿La computación cuántica acabará con las criptomonedas?

marsbitHace 3 hora(s)

Cuenta regresiva hacia el Q-Day: ¿Pondrá fin la computación cuántica a las criptomonedas?

**Q-Day Cuenta Atrás: ¿Pondrá la Computación Cuántica Fin a las Criptomonedas?** La computación cuántica representa una amenaza existencial para las criptomonedas, ya que el algoritmo de Shor podría romper los criptosistemas de curva elíptica (ECC/ECDSA) que protegen las claves privadas. El "Q-Day", el momento en que un ordenador cuántico a gran escala logre esto, se estima entre 2035-2045. El riesgo es particularmente grave para activos en cadena cuyas claves públicas están expuestas (como antiguos UTXO de Bitcoin), que podrían ser drenados. La migración a criptografía post-cuántica (PQC), como los algoritmos basados en retículos (ML-KEM/DSA) o hashes (SLH-DSA) estandarizados por NIST, es urgente pero compleja. **Bitcoin** enfrenta un enorme desafío de gobernanza: migrar mediante un *soft fork* a direcciones PQC, lidiar con la expansión de las firmas (de ~70 bytes a varios KB) y decidir el destino de los UTXO heredados inactivos, un dilema entre la inmutabilidad y la supervivencia. **Ethereum** sigue una hoja de ruta "Lean" más ágil, utilizando la abstracción de cuentas para la migración de usuarios y explorando firmas basadas en hash (leanXMSS) comprimidas con zkVMs para los validores, junto con la renovación de sus capas de datos y compromisos. La conclusión es clara: la computación cuántica no es un apocalipsis instantáneo, pero inicia una cuenta atrás crítica. La ventana de acción cómoda es de 5-8 años. El mayor obstáculo no es técnico, sino de coordinación de todo el ecosistema y de consenso social sobre la gobernanza de los activos heredados, poniendo a prueba los principios fundamentales de Web3.

链捕手Hace 4 hora(s)

Cuenta regresiva hacia el Q-Day: ¿Pondrá fin la computación cuántica a las criptomonedas?

链捕手Hace 4 hora(s)

Trading

Spot

Artículos destacados

Cómo comprar APT

¡Bienvenido a HTX.com! Hemos hecho que comprar Aptos (APT) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Aptos (APT) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Aptos (APT)Después de comprar tu Aptos (APT), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Aptos (APT)Tradear fácilmente con Aptos (APT) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

257 Vistas totalesPublicado en 2024.12.11Actualizado en 2026.06.02

Cómo comprar APT

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de APT (APT).

活动图片