慢雾安全团队揭秘 Lazarus Group 入侵手法

链捕手Опубликовано 2025-02-24Обновлено 2025-02-24

原文标题:《加密货币 APT 情报:揭秘 Lazarus Group 入侵手法》

作者: 23pds & Thinking (慢雾安全团队)

编译:lenaxin,ChainCatcher

背景

自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查,我们完成了对黑客攻击手法和入侵路径的复盘。结果表明,这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪,我们确认攻击者正是 Lazarus Group 。

在获取相关 IOC (入侵指标)和 TTP (战术、技术与程序)后,我们第一时间将该情报同步给合作伙伴。同时,我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过,相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警,在安全团队的及时响应下,攻击被成功阻断。

鉴于近期针对加密货币交易所的 APT 攻击持续发生,形势愈发严峻,我们在与相关方沟通后,决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布,以便社区伙伴能够及时防御和自查。同时,受保密协议限制,我们无法披露过多合作伙伴的具体信息。接下来,我们将重点分享攻击的 IOC 和 TTP 。

攻击者信息

攻击者域名:

  • gossipsnare [.] com , 51.38.145.49:443
  • showmanroast [.] com , 213.252.232.171:443
  • getstockprice [.] info , 131.226.2.120:443
  • eclairdomain [.] com , 37.120.247.180:443
  • replaydreary [.] com , 88.119.175.208:443
  • coreladao [.] com
  • cdn . clubinfo [.] io

涉及事件的 IP :

  • 193.233.171[.]58
  • 193.233.85[.]234
  • 208.95.112[.]1
  • 204.79.197[.]203
  • 23.195.153[.]175

攻击者的 GitHub 用户名:

  • https :// github . com / mariaauijj
  • https :// github . com / patriciauiokv
  • https :// github . com / lauraengmp

攻击者的社交账号:

  • Telegram : @ tanzimahmed88

后门程序名称:

  • StockInvestSimulator - main . zip
  • MonteCarloStockInvestSimulator - main . zip
  • 类似 … StockInvestSimulator - main . zip 等

真实的项目代码:

 ( https :// github . com / cristianleoo / montecarlo - portfolio - management )

攻击者更改后的虚假项目代码:

对比后会发现, data 目录多了一个 data _ fetcher . py 文件,其中包含一个奇怪的 Loader :


攻击者使用的后门技术

攻击者利用 pyyaml 进行 RCE (远程代码执行),实现恶意代码下发,从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后,我们又获取了多个类似的恶意样本。

关键技术分析参考: https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

慢雾安全团队通过对样本的深入分析,成功复现了攻击者利用 pyyaml 进行 RCE (远程代码执行)的攻击手法。

攻击关键分析

目标和动机

目标:攻击者的主要目标是通过入侵加密货币交易所的基础设施,获取对钱包的控制权,进而非法转移钱包中的大量加密资产。

动机:试图窃取高价值的加密货币资产。

技术手段

1. 初始入侵

  • 攻击者利用社会工程学手段,诱骗员工在本地设备或 Docker 内执行看似正常的代码。
  • 在本次调查中,我们发现攻击者使用的恶意软件包括 ` StockInvestSimulator - main . zip ` 和 ` MonteCarlo StockInvestSimulator - main . zip `。这些文件伪装成合法的 Python 项目,但实则是远程控制木马,并且攻击者利用 pyyaml 进行 RCE ,作为恶意代码的下发和执行手段,绕过了大多数杀毒软件的检测。

2. 权限提升

  • 攻击者通过恶意软件成功获取员工设备的本地控制权限,并且诱骗员工将 docker - compose . yaml 中的 privileged 设置为 true 。
  • 攻击者利用 privileged 设置为 true 的条件进一步提升了权限,从而完全控制了目标设备。

3. 内部侦察和横向移动

  • 攻击者利用被入侵的员工电脑对内网进行扫描。
  • 随后,攻击者利用内网的服务和应用漏洞,进一步入侵企业内部服务器。
  • 攻击者窃取了关键服务器的 SSH 密钥,并利用服务器之间的白名单信任关系,实现横向移动至钱包服务器。

4. 加密资产转移

  • 攻击者成功获得钱包控制权后,将大量加密资产非法转移至其控制的钱包地址。

5. 隐藏痕迹

  • 攻击者利用合法的企业工具、应用服务和基础设施作为跳板,掩盖其非法活动的真实来源,并删除或破坏日志数据和样本数据。

过程

攻击者通过社会工程学手段诱骗目标,常见方式包括:

1. 伪装成项目方,寻找关键目标开发人员,请求帮助调试代码,并表示愿意提前支付报酬以获取信任。

我们追踪相关 IP 和 ua 信息后发现,这笔交易属于第三方代付,没有太多价值。

2. 攻击者伪装成自动化交易或投资人员,提供交易分析或量化代码,诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行,它会建立持久化后门,并向攻击者提供远程访问权限。

  • 攻击者利用被入侵设备扫描内网,识别关键服务器,并利用企业应用的漏洞进一步渗透企业网络。所有攻击行为均通过被入侵设备的 VPN 流量进行,从而绕过大部分安全设备的检测。
  • 一旦成功获取相关应用服务器权限,攻击者便会窃取关键服务器的 SSH 密钥,利用这些服务器的权限进行横向移动,最终控制钱包服务器,将加密资产转移到外部地址。整个过程中,攻击者巧妙利用企业内部工具和基础设施,使攻击行为难以被快速察觉。
  • 攻击者会诱骗员工删除调试运行的程序,并且提供调试报酬,以掩盖攻击痕迹。

此外,由于部分受骗员工担心责任追究等问题,可能会主动删除相关信息,导致攻击发生后不会及时上报相关情况,使得排查和取证变得更加困难。

应对建议

APT (高级持续性威胁)攻击因其隐蔽性强、目标明确且长期潜伏的特点,防御难度极高。传统安全措施往往难以检测其复杂的入侵行为,因此需要结合多层次网络安全解决方案,如实时监控、异常流量分析、端点防护与集中日志管理等,才能尽早发现和感知攻击者的入侵痕迹,从而有效应对威胁。慢雾安全团队提出 8 大防御方向和建议,希望可以为社区伙伴提供防御部署的参考:

1. 网络代理安全配置

目标:在网络代理上配置安全策略,以实现基于零信任模型的安全决策和服务管理。 

解决方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防护

目标:在 DNS 层实施安全控制,检测并阻止解析已知恶意域名的请求,防止 DNS 欺骗或数据泄露。 

解决方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 网络流量/主机监控与威胁检测

目标:分析网络请求的数据流,实时监测异常行为,识别潜在攻击(如 IDS/IPS),服务器安装 HIDS,以便尽早发现攻击者的漏洞利用等攻击行为。 

解决方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 网络分段与隔离

目标:将网络划分为较小的、相互隔离的区域,限制威胁传播范围,增强安全控制能力。 

解决方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平台安全组策略等。

5. 系统加固措施

目标:实施安全强化策略(如配置管理、漏洞扫描和补丁更新),降低系统脆弱性,提升防御能力。 

解决方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端点可见性与威胁检测

目标:提供对终端设备活动的实时监控,识别潜在威胁,支持快速响应(如 EDR),设置应用程序白名单机制,发现异常程序并及时告警。

解决方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日志管理与分析

目标:将来自不同系统的日志数据整合到统一平台,便于安全事件的追踪、分析和响应。

解决方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培养团队安全意识

目标:提高组织成员安全意识,能够识别大部分社会工程学攻击,并在出事后主动上报异常,以便更及时进行排查。

解决方案:区块链黑暗森林自救手册 (https://darkhandbook.io/), Web3 钓鱼手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外,我们建议周期性开展红蓝对抗的演练,以便识别出安全流程管理和安全防御部署上的薄弱点。

写在最后

攻击事件常常发生在周末及传统节假日期间,给事件响应和资源协调带来了不小的挑战。在这一过程中,慢雾安全团队的 23pds (山哥), Thinking , Reborn 等相关成员始终保持警觉,在假期期间轮班应急响应,持续推进调查分析。最终,我们成功还原了攻击者的手法和入侵路径。

回顾本次调查,我们不仅揭示了 Lazarus Group 的攻击方式,还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时,我们基于实际案例总结了针对 APT 攻击的防御建议,希望能为行业提供参考,帮助更多机构提升安全防护能力,减少潜在威胁的影响。网络安全对抗是一场持久战,我们也将持续关注类似攻击,助力社区共同抵御威胁。

Трендовые криптовалюты

Похожее

MSTR сообщила о продаже 3588 биткоинов, цена акций упала на 5% в течение дня

Компания MicroStrategy (MSTR), крупнейший корпоративный держатель биткоинов, сообщила о продаже 3588 BTC в период с 29 июня по 5 июля, выручив примерно $216 млн для выплаты дивидендов по своим привилегированным акциям. Это крупнейшая продажа в истории компании и третья с 2020 года, что сигнализирует о сдвиге: биткоин постепенно превращается из стратегического резерва "только для покупки" в актив для управления ликвидностью. Ранее компания придерживалась принципа "никогда не продавать", но впервые нарушила его в конце мая, продав 32 BTC. Нынешняя продажа, в 100 раз больше по объему, указывает на интеграцию этой практики в регулярные финансовые операции. Основной причиной продажи является давление ежегодных дивидендных выплат по привилегированным акциям на сумму около $1.5 млрд, которые не могут быть покрыты денежными потоками от основного программного бизнеса MicroStrategy. Операционная модель компании теперь выглядит так: при благоприятных условиях привлечения капитала она продолжает покупать биткоины, а при ужесточении условий — продает небольшую часть для покрытия обязательств. На фоне новости акции MSTR упали более чем на 5%. По состоянию на 5 июля компания владеет 843 775 BTC со средней ценой покупки около $75 700.

华尔街日报3 ч. назад

MSTR сообщила о продаже 3588 биткоинов, цена акций упала на 5% в течение дня

华尔街日报3 ч. назад

BUILDon: Сможет ли B удержать 12% рост цены перед лицом ЭТОГО препятствия

Токен BUILDon (B) вырос на 12% за сутки, чему способствовал позитивный настрой на рынке перипетуальных контрактов, где преобладают длинные позиции (Funding Rate 0.0101%), а открытый интерес вырос до $27.34 млн. Однако устойчивость ралли находится под вопросом. На графике актив встречает сильное сопротивление на 200-дневной скользящей средней, при этом сформировался «крест смерти» (смертельное пересечение), что является медвежьим сигналом. Индикаторы Chaikin Money Flow (CMF) и Accumulation/Distribution (A/D) также находятся в отрицательной зоне и снижаются, что указывает на рост давления продаж. Таким образом, несмотря на позитивные импульсы от рынка деривативов и высокий объем торгов ($7.25 млн), технический анализ указывает на значительные препятствия для дальнейшего роста. Прорыв выше сопротивления 200-дневной SMA может открыть путь к уровням $0.266 и $0.279, в то время как неудача способна привести к откату к поддержке около $0.21.

ambcrypto3 ч. назад

BUILDon: Сможет ли B удержать 12% рост цены перед лицом ЭТОГО препятствия

ambcrypto3 ч. назад

Обратный отсчет Q-Day: Положит ли квантовые вычисления конец криптовалютам?

**Резюме: Отсчет до Q-Day — уничтожит ли квантовые вычисления криптовалюты?** Квантовые вычисления представляют системный вызов для криптографии с открытым ключом, лежащей в основе блокчейна. Основная угроза исходит от алгоритма Шора, который теоретически способен взломать ECDSA/ECC, подорвав безопасность подписей Bitcoin и Ethereum. **Суть угрозы:** Критический момент («Q-Day») наступит с появлением крупномасштабных, устойчивых к ошибкам квантовых компьютеров. Главная проблема — не отсутствие постквантовых криптографических алгоритмов (PQC, таких как ML-DSA, SLH-DSA), а колоссальная задача по скоординированному обновлению всей экосистемы до этого момента. Риск распределен неравномерно: в первую очередь под угрозой находятся активы, чьи открытые ключи уже раскрыты в блокчейне (например, старые BTC UTXO). **Подходы к решению:** * **Постквантовая криптография (PQC):** NIST стандартизировал алгоритмы на основе решеток (ML-KEM, ML-DSA) и хэшей (SLH-DSA). Их интеграция сталкивается с проблемами увеличения размера подписи и сложностью обновления. * **Bitcoin:** Главный вызов — социальный консенсус и управление. Необходимо решить, как поступить с «унаследованными» активами (legacy UTXO), чьи ключи уязвимы. Миграция, вероятно, будет происходить через мягкое форкирование, но это вызовет ожесточенные споры о неизменности и правах собственности. * **Ethereum:** Проблема носит более технический, инженерный характер. План включает обновление учетных записей (через абстракцию счетов), консенсусного уровня (замена BLS) и слоя данных. Ethereum Foundation активно работает над повышением «криптографической гибкости» сети. **Вывод:** Квантовые вычисления не являются мгновенным «концом» криптовалют. Это долгосрочный структурный риск, запускающий обратный отсчет для масштабной, сложной миграции. «Инженерное окно» для подготовки оценивается в 5-8 лет. Успех зависит от способности сообществ Bitcoin (социальное управление) и Ethereum (техническая сложность) скоординировать обновление всей экосистемы — от протоколов до кошельков и бирж.

marsbit4 ч. назад

Обратный отсчет Q-Day: Положит ли квантовые вычисления конец криптовалютам?

marsbit4 ч. назад

Трамп – самый искусный инвестор среди президентов США

Согласно отчету Управления по этике правительства США, бывший президент Дональд Трамп в 2025 году заработал рекордные 2,2 миллиарда долларов, что сделало его самым высокооплачиваемым президентом в истории США. Основными источниками дохода стали криптовалюта (примерно 1,4 млрд долларов, включая его мем-монету $TRUMP) и операции с недвижимостью (около 575 млн долларов), особенно в его курортных клубах, таких как Мар-а-Лаго. Также сообщается о более чем 22 000 операций с акциями за год, что вызвало споры о возможных конфликтах интересов, поскольку многие сделки совпадали по времени с важными политическими заявлениями. Трамп и его семья активно монетизировали президентское влияние через брендированные криптовалютные проекты и премиальный доступ к своим объектам. Критики утверждают, что такая деятельность размывает границы между государственной должностью и частным бизнесом, в то время как сторонники видят в этом успешную коммерческую деятельность. Отчет поднял новые вопросы о необходимости этических реформ для высших должностных лиц.

marsbit4 ч. назад

Трамп – самый искусный инвестор среди президентов США

marsbit4 ч. назад

Обратный отсчёт Q-Day: Покончит ли квантовый вычисление с криптовалютой?

**Квантовые вычисления и криптовалюты: обратный отсчет до Q-Day** Квантовые компьютеры, основанные на принципах квантовой механики (суперпозиция, запутанность), представляют собой экзистенциальную угрозу для блокчейн-индустрии, поскольку способны взломать используемую в ней криптографию с открытым ключом (ECC, RSA) за счет алгоритма Шора. Момент, когда это станет возможным (Q-Day), по оценкам, может наступить в 2035-2045 гг. Основной удар придется на публичные ключи, уже находящиеся в блокчейне (например, старые UTXO в Bitcoin), из которых можно будет восстановить приватные ключи и подделать транзакции. Это ставит под угрозу сам принцип "необратимости" активов. **Антиквантовая защита:** * **PQC (Постквантовая криптография):** Использование алгоритмов, устойчивых к квантовым атакам (на основе решеток, хэшей), например, стандарты NIST FIPS 203-205. * **Гибридные схемы:** Совместное использование классической и постквантовой криптографии для плавного перехода. **Практические вызовы для блокчейнов:** 1. **Bitcoin:** Главная проблема — социальный консенсус и управление. Необходимо решить судьбу уязвимых устаревших UTXO, не нарушая принцип "неизменности". Технически переход возможен через софт-форк, но новые подписи PQC значительно больше по размеру, что увеличивает нагрузку на сеть. 2. **Ethereum:** Проблема — сложность полного обновления стека (аккаунты, консенсус, доказательства с нулевым разглашением). Стратегия основана на повышении "криптографической гибкости" сети и использовании решений второго уровня (L2) для тестирования. **Вывод:** Угроза реальна, но это не "конец света". Индустрия имеет 5-8-летнее окно для скоординированного перехода всей экосистемы (протоколы, кошельки, биржи). Ключевым барьером для Bitcoin станут вопросы управления и права собственности, а для Ethereum — инженерная сложность полномасштабного обновления. Отсчет до Q-Day уже начался.

链捕手4 ч. назад

Обратный отсчёт Q-Day: Покончит ли квантовый вычисление с криптовалютой?

链捕手4 ч. назад

Торговля

Спот

Популярные статьи

Как купить APT

Добро пожаловать на HTX.com! Мы сделали приобретение Aptos (APT) простым и удобным. Следуйте нашему пошаговому руководству и отправляйтесь в свое крипто-путешествие.Шаг 1: Создайте аккаунт на HTXИспользуйте свой адрес электронной почты или номер телефона, чтобы зарегистрироваться и бесплатно создать аккаунт на HTX. Пройдите удобную регистрацию и откройте для себя весь функционал.Создать аккаунтШаг 2: Перейдите в Купить криптовалюту и выберите свой способ оплатыКредитная/Дебетовая Карта: Используйте свою карту Visa или Mastercard для мгновенной покупки Aptos (APT).Баланс: Используйте средства с баланса вашего аккаунта HTX для простой торговли.Третьи Лица: Мы добавили популярные способы оплаты, такие как Google Pay и Apple Pay, для повышения удобства.P2P: Торгуйте напрямую с другими пользователями на HTX.Внебиржевая Торговля (OTC): Мы предлагаем индивидуальные услуги и конкурентоспособные обменные курсы для трейдеров.Шаг 3: Хранение Aptos (APT)После приобретения вами Aptos (APT) храните их в своем аккаунте на HTX. В качестве альтернативы вы можете отправить их куда-либо с помощью перевода в блокчейне или использовать для торговли с другими криптовалютами.Шаг 4: Торговля Aptos (APT)С легкостью торгуйте Aptos (APT) на спотовом рынке HTX. Просто зайдите в свой аккаунт, выберите торговую пару, совершайте сделки и следите за ними в режиме реального времени. Мы предлагаем удобный интерфейс как для начинающих, так и для опытных трейдеров.

443 просмотров всегоОпубликовано 2024.03.29Обновлено 2026.06.02

Как купить APT

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на APT (APT) представлены ниже.

活动图片