慢雾安全团队揭秘 Lazarus Group 入侵手法

链捕手Xuất bản vào 2025-02-24Cập nhật gần nhất vào 2025-02-24

原文标题:《加密货币 APT 情报:揭秘 Lazarus Group 入侵手法》

作者: 23pds & Thinking (慢雾安全团队)

编译:lenaxin,ChainCatcher

背景

自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查,我们完成了对黑客攻击手法和入侵路径的复盘。结果表明,这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪,我们确认攻击者正是 Lazarus Group 。

在获取相关 IOC (入侵指标)和 TTP (战术、技术与程序)后,我们第一时间将该情报同步给合作伙伴。同时,我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过,相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警,在安全团队的及时响应下,攻击被成功阻断。

鉴于近期针对加密货币交易所的 APT 攻击持续发生,形势愈发严峻,我们在与相关方沟通后,决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布,以便社区伙伴能够及时防御和自查。同时,受保密协议限制,我们无法披露过多合作伙伴的具体信息。接下来,我们将重点分享攻击的 IOC 和 TTP 。

攻击者信息

攻击者域名:

  • gossipsnare [.] com , 51.38.145.49:443
  • showmanroast [.] com , 213.252.232.171:443
  • getstockprice [.] info , 131.226.2.120:443
  • eclairdomain [.] com , 37.120.247.180:443
  • replaydreary [.] com , 88.119.175.208:443
  • coreladao [.] com
  • cdn . clubinfo [.] io

涉及事件的 IP :

  • 193.233.171[.]58
  • 193.233.85[.]234
  • 208.95.112[.]1
  • 204.79.197[.]203
  • 23.195.153[.]175

攻击者的 GitHub 用户名:

  • https :// github . com / mariaauijj
  • https :// github . com / patriciauiokv
  • https :// github . com / lauraengmp

攻击者的社交账号:

  • Telegram : @ tanzimahmed88

后门程序名称:

  • StockInvestSimulator - main . zip
  • MonteCarloStockInvestSimulator - main . zip
  • 类似 … StockInvestSimulator - main . zip 等

真实的项目代码:

 ( https :// github . com / cristianleoo / montecarlo - portfolio - management )

攻击者更改后的虚假项目代码:

对比后会发现, data 目录多了一个 data _ fetcher . py 文件,其中包含一个奇怪的 Loader :


攻击者使用的后门技术

攻击者利用 pyyaml 进行 RCE (远程代码执行),实现恶意代码下发,从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后,我们又获取了多个类似的恶意样本。

关键技术分析参考: https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

慢雾安全团队通过对样本的深入分析,成功复现了攻击者利用 pyyaml 进行 RCE (远程代码执行)的攻击手法。

攻击关键分析

目标和动机

目标:攻击者的主要目标是通过入侵加密货币交易所的基础设施,获取对钱包的控制权,进而非法转移钱包中的大量加密资产。

动机:试图窃取高价值的加密货币资产。

技术手段

1. 初始入侵

  • 攻击者利用社会工程学手段,诱骗员工在本地设备或 Docker 内执行看似正常的代码。
  • 在本次调查中,我们发现攻击者使用的恶意软件包括 ` StockInvestSimulator - main . zip ` 和 ` MonteCarlo StockInvestSimulator - main . zip `。这些文件伪装成合法的 Python 项目,但实则是远程控制木马,并且攻击者利用 pyyaml 进行 RCE ,作为恶意代码的下发和执行手段,绕过了大多数杀毒软件的检测。

2. 权限提升

  • 攻击者通过恶意软件成功获取员工设备的本地控制权限,并且诱骗员工将 docker - compose . yaml 中的 privileged 设置为 true 。
  • 攻击者利用 privileged 设置为 true 的条件进一步提升了权限,从而完全控制了目标设备。

3. 内部侦察和横向移动

  • 攻击者利用被入侵的员工电脑对内网进行扫描。
  • 随后,攻击者利用内网的服务和应用漏洞,进一步入侵企业内部服务器。
  • 攻击者窃取了关键服务器的 SSH 密钥,并利用服务器之间的白名单信任关系,实现横向移动至钱包服务器。

4. 加密资产转移

  • 攻击者成功获得钱包控制权后,将大量加密资产非法转移至其控制的钱包地址。

5. 隐藏痕迹

  • 攻击者利用合法的企业工具、应用服务和基础设施作为跳板,掩盖其非法活动的真实来源,并删除或破坏日志数据和样本数据。

过程

攻击者通过社会工程学手段诱骗目标,常见方式包括:

1. 伪装成项目方,寻找关键目标开发人员,请求帮助调试代码,并表示愿意提前支付报酬以获取信任。

我们追踪相关 IP 和 ua 信息后发现,这笔交易属于第三方代付,没有太多价值。

2. 攻击者伪装成自动化交易或投资人员,提供交易分析或量化代码,诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行,它会建立持久化后门,并向攻击者提供远程访问权限。

  • 攻击者利用被入侵设备扫描内网,识别关键服务器,并利用企业应用的漏洞进一步渗透企业网络。所有攻击行为均通过被入侵设备的 VPN 流量进行,从而绕过大部分安全设备的检测。
  • 一旦成功获取相关应用服务器权限,攻击者便会窃取关键服务器的 SSH 密钥,利用这些服务器的权限进行横向移动,最终控制钱包服务器,将加密资产转移到外部地址。整个过程中,攻击者巧妙利用企业内部工具和基础设施,使攻击行为难以被快速察觉。
  • 攻击者会诱骗员工删除调试运行的程序,并且提供调试报酬,以掩盖攻击痕迹。

此外,由于部分受骗员工担心责任追究等问题,可能会主动删除相关信息,导致攻击发生后不会及时上报相关情况,使得排查和取证变得更加困难。

应对建议

APT (高级持续性威胁)攻击因其隐蔽性强、目标明确且长期潜伏的特点,防御难度极高。传统安全措施往往难以检测其复杂的入侵行为,因此需要结合多层次网络安全解决方案,如实时监控、异常流量分析、端点防护与集中日志管理等,才能尽早发现和感知攻击者的入侵痕迹,从而有效应对威胁。慢雾安全团队提出 8 大防御方向和建议,希望可以为社区伙伴提供防御部署的参考:

1. 网络代理安全配置

目标:在网络代理上配置安全策略,以实现基于零信任模型的安全决策和服务管理。 

解决方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防护

目标:在 DNS 层实施安全控制,检测并阻止解析已知恶意域名的请求,防止 DNS 欺骗或数据泄露。 

解决方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 网络流量/主机监控与威胁检测

目标:分析网络请求的数据流,实时监测异常行为,识别潜在攻击(如 IDS/IPS),服务器安装 HIDS,以便尽早发现攻击者的漏洞利用等攻击行为。 

解决方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 网络分段与隔离

目标:将网络划分为较小的、相互隔离的区域,限制威胁传播范围,增强安全控制能力。 

解决方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平台安全组策略等。

5. 系统加固措施

目标:实施安全强化策略(如配置管理、漏洞扫描和补丁更新),降低系统脆弱性,提升防御能力。 

解决方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端点可见性与威胁检测

目标:提供对终端设备活动的实时监控,识别潜在威胁,支持快速响应(如 EDR),设置应用程序白名单机制,发现异常程序并及时告警。

解决方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日志管理与分析

目标:将来自不同系统的日志数据整合到统一平台,便于安全事件的追踪、分析和响应。

解决方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培养团队安全意识

目标:提高组织成员安全意识,能够识别大部分社会工程学攻击,并在出事后主动上报异常,以便更及时进行排查。

解决方案:区块链黑暗森林自救手册 (https://darkhandbook.io/), Web3 钓鱼手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外,我们建议周期性开展红蓝对抗的演练,以便识别出安全流程管理和安全防御部署上的薄弱点。

写在最后

攻击事件常常发生在周末及传统节假日期间,给事件响应和资源协调带来了不小的挑战。在这一过程中,慢雾安全团队的 23pds (山哥), Thinking , Reborn 等相关成员始终保持警觉,在假期期间轮班应急响应,持续推进调查分析。最终,我们成功还原了攻击者的手法和入侵路径。

回顾本次调查,我们不仅揭示了 Lazarus Group 的攻击方式,还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时,我们基于实际案例总结了针对 APT 攻击的防御建议,希望能为行业提供参考,帮助更多机构提升安全防护能力,减少潜在威胁的影响。网络安全对抗是一场持久战,我们也将持续关注类似攻击,助力社区共同抵御威胁。

Tiền kỹ thuật số thịnh hành

Nội dung Liên quan

MSTR tiết lộ bán 3,588 Bitcoin, giá cổ phiếu lao dốc 5% trong ngày

Công ty Strategy, chủ sở hữu doanh nghiệp lớn nhất thế giới, đã công bố việc bán 3.588 Bitcoin trong khoảng thời gian từ 29/6 đến 5/7 để thu về khoảng 216 triệu USD, nhằm chi trả cổ tức cho các cổ phiếu ưu đãi. Đây là lần bán Bitcoin lớn nhất trong lịch sử công ty, đánh dấu sự thay đổi từ chiến lược "chỉ mua, không bán" trước đây sang việc sử dụng Bitcoin như một tài sản để quản lý thanh khoản. Động thái này diễn ra trong bối cảnh giá Bitcoin và cổ phiếu MSTR đều chịu áp lực giảm. Sau thông báo, giá cổ phiếu Strategy đã giảm hơn 5% trong phiên. Công ty trước đây từng tuyên bố "không bao giờ bán Bitcoin", nhưng đã có hai lần bán nhỏ vào tháng 5 và giờ là đợt bán lớn với quy mô gấp hàng trăm lần. Nguyên nhân chính đến từ áp lực tài chính. Strategy phải chi trả khoảng 1,5 tỷ USD cổ tức ưu đãi hàng năm, trong khi dòng tiền từ hoạt động phần mềm không đủ trang trải. Khi huy động vốn mới khó khăn, công ty buộc phải bán Bitcoin để duy trì hoạt động. Mô hình hiện tại của Strategy là tiếp tục mua Bitcoin khi điều kiện tài chính thuận lợi và bán một phần khi cần thanh khoản, tạo thành một vòng vận hành khép kín. Tính đến ngày 5/7, công ty vẫn nắm giữ 84.377 Bitcoin với giá vốn trung bình khoảng 75.700 USD.

华尔街日报3 giờ trước

MSTR tiết lộ bán 3,588 Bitcoin, giá cổ phiếu lao dốc 5% trong ngày

华尔街日报3 giờ trước

Donald Trump, Tổng thống Mỹ biết 'chơi' chứng khoán nhất

Donald Trump, tổng thống Mỹ giàu có nhất lịch sử, đã kiếm được 2,2 tỷ USD trong năm 2025, theo báo cáo tài chính công khai. Phần lớn thu nhập đến từ tiền điện tử (1,4 tỷ USD), đặc biệt là đồng meme $TRUMP và token WLFI của công ty World Liberty Financial do gia đình ông thành lập. Lĩnh vực bất động sản truyền thống mang về 575 triệu USD, với các khu nghỉ dưỡng và sân golf như Mar-a-Lago có doanh thu tăng mạnh nhờ sự hiện diện của ông. Trump cũng thực hiện hơn 22.000 giao dịch chứng khoán trong năm, với tần suất cao bất thường và thời điểm giao dịch trùng khớp với các sự kiện chính sách quan trọng, dấy lên lo ngại về xung đột lợi ích. Dù Nhà Trắng cho biết các giao dịch do đội ngũ chuyên nghiệp quản lý, việc Trump không sử dụng ủy thác mù (blind trust) như các tổng thống tiền nhiệm vẫn là điểm gây tranh cãi. Bài viết nhận định Trump đã biến vai trò tổng thống thành một "cỗ máy kinh doanh", khai thác triệt để ảnh hưởng chính trị để thu lợi nhuận cá nhân và gia đình, từ tiền điện tử, bất động sản đến chứng khoán. Điều này làm dấy lên cuộc tranh luận mới về ranh giới giữa quyền lực công và lợi ích tư trong chính trị Mỹ.

marsbit4 giờ trước

Donald Trump, Tổng thống Mỹ biết 'chơi' chứng khoán nhất

marsbit4 giờ trước

Chịu lỗ 55 triệu USD cũng phải bán tiền điện tử, Ngày đáo hạn cho niềm tin của Strategy

Vào ngày 6/7, Michael Saylor thông báo MicroStrategy đã bán 3,588 BTC (trị giá khoảng 216 triệu USD) để trả cổ tức cho chứng khoán ưu tiên số. Giao dịch này ghi nhận khoản lỗ thực tế lên tới 55 triệu USD so với giá mua trung bình của công ty. Đây là lần bán đầu tiên kể từ năm 2022 và đánh dấu sự đảo chiều so với chiến lược "không bao giờ bán" trước đây. Động thái này xuất phát từ áp lực tài chính bắt buộc. MicroStrategy phát hành nhiều loại chứng khoán ưu tiên (như STRC) với nghĩa vụ trả cổ tức/lãi hàng năm lên tới khoảng 1,76 tỷ USD. Khi giá Bitcoin giảm, cổ phiếu MSTR mất phần premium so với tài sản ròng (mNAV), khiến việc huy động vốn mới bằng cách phát hành cổ phiếu trở nên bất lợi. Do đó, bán Bitcoin để chi trả trở thành lựa chọn khả thi duy nhất. Tác động chính là sự thay đổi cơ cấu thị trường: từ một nhà mua kiên định lớn nhất, MicroStrategy nay trở thành một nguồn bán có lịch trình, ước tính cần bán khoảng 29,000 BTC mỗi năm để đáp ứng nghĩa vụ. Điều này gây áp lực tâm lý lên giá Bitcoin và đặt dấu hỏi về mô hình DAT (Kho bạc tài sản số) của nhiều công ty khác. Tuy nhiên, với dự trữ tiền mặt 2,55 tỷ USD, MicroStrategy vẫn có khả năng chi trả trong khoảng 17 tháng mà không cần bán thêm Bitcoin. Lối thoát cho công ty phụ thuộc vào việc giá Bitcoin phục hồi, giúp chứng khoán ưu tiên STRC trở lại mệnh giá 100 USD và mở lại kênh huy động vốn, từ đó khởi động lại "bánh đà" tăng trưởng cũ.

链捕手4 giờ trước

Chịu lỗ 55 triệu USD cũng phải bán tiền điện tử, Ngày đáo hạn cho niềm tin của Strategy

链捕手4 giờ trước

Giao dịch

Giao ngay

Bài viết Nổi bật

Làm thế nào để Mua APT

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Aptos (APT) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Aptos (APT) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Aptos (APT) của BạnSau khi mua Aptos (APT), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Aptos (APT)Giao dịch Aptos (APT) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 258Xuất bản vào 2024.12.11Cập nhật vào 2026.06.02

Làm thế nào để Mua APT

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của APT (APT) được trình bày dưới đây.

活动图片