加密货币 APT 情报:揭秘 Lazarus Group 入侵手法

金色财经Xuất bản vào 2025-04-13Cập nhật gần nhất vào 2025-04-13

作者:23pds & Thinking;来源:慢雾科技

背景

自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查,我们完成了对黑客攻击手法和入侵路径的复盘。结果表明,这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪,我们确认攻击者正是 Lazarus Group。

在获取相关 IOC(入侵指标)和 TTP(战术、技术与程序)后,我们第一时间将该情报同步给合作伙伴。同时,我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过,相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警,在安全团队的及时响应下,攻击被成功阻断。

鉴于近期针对加密货币交易所的 APT 攻击持续发生,形势愈发严峻,我们在与相关方沟通后,决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布,以便社区伙伴能够及时防御和自查。同时,受保密协议限制,我们无法披露过多合作伙伴的具体信息。接下来,我们将重点分享攻击的 IOC 和 TTP。

攻击者信息

攻击者域名:

  • gossipsnare[.]com, 51.38.145.49:443

  • showmanroast[.]com, 213.252.232.171:443

  • getstockprice[.]info, 131.226.2.120:443

  • eclairdomain[.]com, 37.120.247.180:443

  • replaydreary[.]com, 88.119.175.208:443

  • coreladao[.]com

  • cdn.clubinfo[.]io

攻击者 IP:

  • 193.233.171[.]58

  • 193.233.85[.]234

  • 208.95.112[.]1

  • 204.79.197[.]203

  • 23.195.153[.]175

攻击者的 GitHub 用户名:

  • https://github.com/mariaauijj

  • https://github.com/patriciauiokv

  • https://github.com/lauraengmp

攻击者的社交账号:

  • Telegram: @tanzimahmed88

后门程序名称:

  • StockInvestSimulator-main.zip

  • MonteCarloStockInvestSimulator-main.zip

  • 类似 …StockInvestSimulator-main.zip 等

真实的项目代码:

 (https://github.com/cristianleoo/montecarlo-portfolio-management)

攻击者更改后的虚假项目代码:

对比后会发现,data 目录多了一个 data_fetcher.py 文件,其中包含一个奇怪的 Loader:

J0OrNYSOg9v0Cjx4aBkAtHuXIEVoNeFhaizDNPyL.png

攻击者使用的后门技术

攻击者利用 pyyaml 进行 RCE(远程代码执行),实现恶意代码下发,从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后,我们又获取了多个类似的恶意样本。

关键技术分析参考:https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning

慢雾安全团队通过对样本的深入分析,成功复现了攻击者利用 pyyaml 进行 RCE(远程代码执行)的攻击手法。

攻击关键分析

目标和动机

目标:攻击者的主要目标是通过入侵加密货币交易所的基础设施,获取对钱包的控制权,进而非法转移钱包中的大量加密资产。

动机:试图窃取高价值的加密货币资产。

技术手段

1. 初始入侵

  • 攻击者利用社会工程学手段,诱骗员工在本地设备或 Docker 内执行看似正常的代码。

  • 在本次调查中,我们发现攻击者使用的恶意软件包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator-main.zip`。这些文件伪装成合法的 Python 项目,但实则是远程控制木马,并且攻击者利用 pyyaml 进行 RCE,作为恶意代码的下发和执行手段,绕过了大多数杀毒软件的检测。

2. 权限提升

  • 攻击者通过恶意软件成功获取员工设备的本地控制权限,并且诱骗员工将 docker-compose.yaml 中的 privileged 设置为 true。

  • 攻击者利用 privileged 设置为 true 的条件进一步提升了权限,从而完全控制了目标设备。

3. 内部侦察和横向移动

  • 攻击者利用被入侵的员工电脑对内网进行扫描。

  • 随后,攻击者利用内网的服务和应用漏洞,进一步入侵企业内部服务器。

  • 攻击者窃取了关键服务器的 SSH 密钥,并利用服务器之间的白名单信任关系,实现横向移动至钱包服务器。

4. 加密资产转移

  • 攻击者成功获得钱包控制权后,将大量加密资产非法转移至其控制的钱包地址。

5. 隐藏痕迹

  • 攻击者利用合法的企业工具、应用服务和基础设施作为跳板,掩盖其非法活动的真实来源,并删除或破坏日志数据和样本数据。

过程

攻击者通过社会工程学手段诱骗目标,常见方式包括:

1. 伪装成项目方,寻找关键目标开发人员,请求帮助调试代码,并表示愿意提前支付报酬以获取信任。

我们追踪相关 IP 和 ua 信息后发现,这笔交易属于第三方代付,没有太多价值。

2. 攻击者伪装成自动化交易或投资人员,提供交易分析或量化代码,诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行,它会建立持久化后门,并向攻击者提供远程访问权限。

  • 攻击者利用被入侵设备扫描内网,识别关键服务器,并利用企业应用的漏洞进一步渗透企业网络。所有攻击行为均通过被入侵设备的 VPN 流量进行,从而绕过大部分安全设备的检测。

  • 一旦成功获取相关应用服务器权限,攻击者便会窃取关键服务器的 SSH 密钥,利用这些服务器的权限进行横向移动,最终控制钱包服务器,将加密资产转移到外部地址。整个过程中,攻击者巧妙利用企业内部工具和基础设施,使攻击行为难以被快速察觉。

  • 攻击者会诱骗员工删除调试运行的程序,并且提供调试报酬,以掩盖攻击痕迹。

此外,由于部分受骗员工担心责任追究等问题,可能会主动删除相关信息,导致攻击发生后不会及时上报相关情况,使得排查和取证变得更加困难。

应对建议

APT(高级持续性威胁)攻击因其隐蔽性强、目标明确且长期潜伏的特点,防御难度极高。传统安全措施往往难以检测其复杂的入侵行为,因此需要结合多层次网络安全解决方案,如实时监控、异常流量分析、端点防护与集中日志管理等,才能尽早发现和感知攻击者的入侵痕迹,从而有效应对威胁。慢雾安全团队提出 8 大防御方向和建议,希望可以为社区伙伴提供防御部署的参考:

1. 网络代理安全配置

目标:在网络代理上配置安全策略,以实现基于零信任模型的安全决策和服务管理。 

解决方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防护

目标:在 DNS 层实施安全控制,检测并阻止解析已知恶意域名的请求,防止 DNS 欺骗或数据泄露。 

解决方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 网络流量/主机监控与威胁检测

目标:分析网络请求的数据流,实时监测异常行为,识别潜在攻击(如 IDS/IPS),服务器安装 HIDS,以便尽早发现攻击者的漏洞利用等攻击行为。 

解决方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 网络分段与隔离

目标:将网络划分为较小的、相互隔离的区域,限制威胁传播范围,增强安全控制能力。 

解决方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平台安全组策略等。

5. 系统加固措施

目标:实施安全强化策略(如配置管理、漏洞扫描和补丁更新),降低系统脆弱性,提升防御能力。 

解决方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端点可见性与威胁检测

目标:提供对终端设备活动的实时监控,识别潜在威胁,支持快速响应(如 EDR),设置应用程序白名单机制,发现异常程序并及时告警。

解决方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日志管理与分析

目标:将来自不同系统的日志数据整合到统一平台,便于安全事件的追踪、分析和响应。

解决方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培养团队安全意识

目标:提高组织成员安全意识,能够识别大部分社会工程学攻击,并在出事后主动上报异常,以便更及时进行排查。

解决方案:区块链黑暗森林自救手册 (https://darkhandbook.io/), Web3 钓鱼手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外,我们建议周期性开展红蓝对抗的演练,以便识别出安全流程管理和安全防御部署上的薄弱点。

写在最后

攻击事件常常发生在周末及传统节假日期间,给事件响应和资源协调带来了不小的挑战。在这一过程中,慢雾安全团队的 23pds(山哥), Thinking, Reborn 等相关成员始终保持警觉,在假期期间轮班应急响应,持续推进调查分析。最终,我们成功还原了攻击者的手法和入侵路径。

回顾本次调查,我们不仅揭示了 Lazarus Group 的攻击方式,还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时,我们基于实际案例总结了针对 APT 攻击的防御建议,希望能为行业提供参考,帮助更多机构提升安全防护能力,减少潜在威胁的影响。网络安全对抗是一场持久战,我们也将持续关注类似攻击,助力社区共同抵御威胁。

Tiền kỹ thuật số thịnh hành

Nội dung Liên quan

Cá voi đặt cược 70 triệu USD vào Bitcoin, Solana hồi phục – Liệu nỗi sợ Fed tăng lãi suất có phá hỏng kế hoạch?

Một cá voi lớn đã tăng cường vị thế mua (long) đối với Bitcoin và Solana vào ngày 2 tháng 7, với tổng cược hơn 70 triệu USD, cùng một vị thế bán khống (short) 10X trên Hyperliquid (HYPE). Ban đầu, lệnh này có lãi chưa thực hiện khoảng 9,2 triệu USD nhờ đợt phục hồi trên thị trường sau báo cáo việc làm Mỹ yếu, làm dấy lên kỳ vọng Cục Dự trữ Liên bang (Fed) có thể không tăng lãi suất. Tuy nhiên, kỳ vọng về lãi suất thực tế thay đổi không nhiều. Công cụ FedWatch cho thấy xác suất Fed giữ nguyên lãi suất ở cuộc họp cuối tháng 7 là 83%. Biên bản cuộc họp FOMC sắp tới có thể gây ra biến động. Đến thời điểm viết bài, cá voi này đã lỗ 1,2 triệu USD, chủ yếu do vị thế short HYPE thua lỗ 70%. Một quyết định giữ lãi suất nhưng có ngôn ngữ diều hâu từ Fed có thể khiến họ tổn thất thêm. Trong khi đó, các nhà đầu tư "tiền thông minh" đang đẩy mạnh mua Solana ở mức 81 USD. Ngược lại, các vị thế short Bitcoin đang gia tăng, chiếm 57% với tổng giá trị hơn 2 tỷ USD, cho thấy tâm lý giảm sau đợt phục hồi lên 62K. Để duy trì đà tăng, Bitcoin cần vượt qua các ngưỡng kháng cự ở 62,3K và 65K USD. Triển vọng phục hồi ngắn hạn của cả Bitcoin và Solana phụ thuộc nhiều vào phản ứng thị trường trước thông tin từ Fed.

ambcrypto25 phút trước

Cá voi đặt cược 70 triệu USD vào Bitcoin, Solana hồi phục – Liệu nỗi sợ Fed tăng lãi suất có phá hỏng kế hoạch?

ambcrypto25 phút trước

OpenAI và Anthropic Đều Muốn "Tự Nghiên Cứu Chip", Ngoài Chi Phí Ra, Quan Trọng Hơn Là Quyền Kiểm Soát Năng Lực Tính Toán

Theo The Information, Anthropic đang đàm phán với Samsung về việc thiết kế chip AI tùy chỉnh và đã khởi động công việc phát triển chip tự thiết kế. Động thái này được xem là việc Anthropic đi theo xu hướng của OpenAI, vốn đã triển khai dự án chip tùy chỉnh từ sớm hơn, hướng tới cạnh tranh tích hợp phần cứng và phần mềm. Nhu cầu điện toán cho việc huấn luyện và vận hành mô hình lớn rất cao, khiến chi phí duy trì ở mức cao. Đối với các công ty như OpenAI và Anthropic, chip không chỉ là vật tư mua ngoài mà còn là tư liệu sản xuất cốt lõi. Do đó, tự thiết kế chip trước hết là vấn đề giành quyền kiểm soát năng lực tính toán, tạo ra lựa chọn công nghệ dự phòng và tăng sức mạnh đàm phán. Lý do trực tiếp nhất là giảm chi phí, nhưng mục tiêu then chốt hơn là sự phối hợp đa tầng giữa mô hình, lõi phần mềm và chip, nhằm cải thiện hiệu suất tổng thể. Cấu trúc mô hình của OpenAI và Anthropic khác biệt, dẫn đến yêu cầu phần cứng khác nhau, khiến chip tùy chỉnh trở nên cần thiết. Tuy nhiên, việc tự thiết kế chip khó có thể thay thế ngay lập tức vai trò của nhà cung cấp như Nvidia, do quá trình từ thiết kế đến triển khai mất 18-24 tháng và hệ sinh thái phần mềm hiện tại phần lớn được tối ưu cho GPU. Chiến lược này thiết lập một con đường thứ hai, sử dụng ASIC tự thiết kế cho các tác vụ cụ thể như suy luận, trong khi vẫn duy trì sử dụng các nguồn lực tính toán bên ngoài. Xu hướng này cho thấy cuộc cạnh tranh AI đang mở rộng từ "mô hình nào mạnh hơn" sang "ai kiểm soát tốt hơn năng lực tính toán, vốn và ngăn xếp phần cứng". Các gã khổng lồ công nghệ như Google, Amazon, Meta, Microsoft đều đã bố trí sâu trong lĩnh vực chip tự thiết kế.

marsbit49 phút trước

OpenAI và Anthropic Đều Muốn "Tự Nghiên Cứu Chip", Ngoài Chi Phí Ra, Quan Trọng Hơn Là Quyền Kiểm Soát Năng Lực Tính Toán

marsbit49 phút trước

Quy định về tiền điện tử 'không phải là một ân huệ', SEC nói, nhưng Đạo luật CLARITY vẫn chờ đợi

Chủ tịch SEC Paul Atkins phản bác chỉ trích về việc thiếu quy tắc rõ ràng cho thị trường tiền mã hóa, nhấn mạnh cơ quan này đang thực hiện các bước "lịch sử" để hiện đại hóa quy định. Ông tuyên bố việc cung cấp sự rõ ràng cho các nhà phát hành tài sản kỹ thuật số "không phải là một đặc ân" cho ngành mà là điều cần thiết để thị trường vận hành. Dù SEC đã ban hành một số hướng dẫn về phân loại tài sản, khung ETF..., sự rõ ràng lâu dài chỉ có thể đạt được thông qua việc thông qua dự luật cấu trúc thị trường tiền mã hóa, Đạo luật CLARITY. Tuy nhiên, dự luật này vẫn chưa được đưa ra bỏ phiếu tại Thượng viện. Áp lực đang gia tăng khi khung MiCA của EU đã có hiệu lực. Nhóm vận động hành lang Stand With Crypto cảnh báo sự chậm trễ khiến đổi mới sáng tạo dịch chuyển ra nước ngoài và kêu gọi các Thượng nghị sĩ lên lịch bỏ phiếu cho Đạo luật CLARITY. Trong bối cảnh đó, người đứng đầu bộ phận Quản lý Đầu tư của SEC thừa nhận cơ quan đã "làm tồi" và phá vỡ niềm tin trong lĩnh vực tiền mã hóa, đồng thời cho biết họ đang nỗ lực khôi phục.

ambcrypto1 giờ trước

Quy định về tiền điện tử 'không phải là một ân huệ', SEC nói, nhưng Đạo luật CLARITY vẫn chờ đợi

ambcrypto1 giờ trước

Biển Mây Tăm Tối Dồn Dập Khi 2,13 Tỷ Đô La Quyền Chọn Bitcoin và Ethereum Đáo Hạn

Thị trường tiền điện tử bước vào phiên quan trọng vào ngày 3/7 khi tổng cộng 2,13 tỷ USD hợp đồng quyền chọn Bitcoin và Ethereum đáo hạn, phản ánh tâm lý thận trọng của nhà đầu tư. Khoảng 31.000 hợp đồng Bitcoin (trị giá 1,9 tỷ USD) đáo hạn với tỷ lệ put/call là 0,7 và điểm đau tối đa ở 61.000 USD. Trong khi đó, 135.000 hợp đồng Ethereum (trị giá 230 triệu USD) đáo hạn với tỷ lệ put/call là 1,29, cho thấy nhiều nhà giao dịch đang phòng ngừa rủi ro giảm giá hoặc có cái nhìn dè dặt. Dữ liệu định vị quyền chọn tập trung quanh các mức Gamma Exposure (GEX) chính, với Bitcoin quanh 60.000 USD và Ethereum gần 1.700 USD. Dù Bitcoin đã lấy lại mốc tâm lý 60.000 USD, tâm lý thị trường vẫn phân hóa. Vị thế phòng thủ của Ethereum và hoạt động phòng ngừa rủi ro tập trung cho thấy nhiều người tham gia vẫn chuẩn bị cho biến động gia tăng, hơn là kỳ vọng một đợt tăng giá mạnh. Tại thời điểm hiện tại, BTC giao dịch quanh 61.932 USD với khối lượng giảm 24,43%, trong khi ETH dao động quanh 1.738 USD. Thị trường cũng chứng kiến thanh lọc đáng kể, với hơn 94,84 triệu USD đối với Bitcoin và 171,46 triệu USD đối với Ethereum trong 24 giờ qua.

TheNewsCrypto1 giờ trước

Biển Mây Tăm Tối Dồn Dập Khi 2,13 Tỷ Đô La Quyền Chọn Bitcoin và Ethereum Đáo Hạn

TheNewsCrypto1 giờ trước

Giao dịch

Giao ngay

Bài viết Nổi bật

Làm thế nào để Mua APT

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Aptos (APT) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Aptos (APT) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Aptos (APT) của BạnSau khi mua Aptos (APT), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Aptos (APT)Giao dịch Aptos (APT) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 252Xuất bản vào 2024.12.11Cập nhật vào 2026.06.02

Làm thế nào để Mua APT

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của APT (APT) được trình bày dưới đây.

活动图片