加密货币 APT 情报:揭秘 Lazarus Group 入侵手法

金色财经发布于2025-04-13更新于2025-04-13

作者:23pds & Thinking;来源:慢雾科技

背景

自 2024 年 6 月以来,慢雾安全团队陆续收到多家团队的邀请,对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查,我们完成了对黑客攻击手法和入侵路径的复盘。结果表明,这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪,我们确认攻击者正是 Lazarus Group。

在获取相关 IOC(入侵指标)和 TTP(战术、技术与程序)后,我们第一时间将该情报同步给合作伙伴。同时,我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过,相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警,在安全团队的及时响应下,攻击被成功阻断。

鉴于近期针对加密货币交易所的 APT 攻击持续发生,形势愈发严峻,我们在与相关方沟通后,决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布,以便社区伙伴能够及时防御和自查。同时,受保密协议限制,我们无法披露过多合作伙伴的具体信息。接下来,我们将重点分享攻击的 IOC 和 TTP。

攻击者信息

攻击者域名:

  • gossipsnare[.]com, 51.38.145.49:443

  • showmanroast[.]com, 213.252.232.171:443

  • getstockprice[.]info, 131.226.2.120:443

  • eclairdomain[.]com, 37.120.247.180:443

  • replaydreary[.]com, 88.119.175.208:443

  • coreladao[.]com

  • cdn.clubinfo[.]io

攻击者 IP:

  • 193.233.171[.]58

  • 193.233.85[.]234

  • 208.95.112[.]1

  • 204.79.197[.]203

  • 23.195.153[.]175

攻击者的 GitHub 用户名:

  • https://github.com/mariaauijj

  • https://github.com/patriciauiokv

  • https://github.com/lauraengmp

攻击者的社交账号:

  • Telegram: @tanzimahmed88

后门程序名称:

  • StockInvestSimulator-main.zip

  • MonteCarloStockInvestSimulator-main.zip

  • 类似 …StockInvestSimulator-main.zip 等

真实的项目代码:

 (https://github.com/cristianleoo/montecarlo-portfolio-management)

攻击者更改后的虚假项目代码:

对比后会发现,data 目录多了一个 data_fetcher.py 文件,其中包含一个奇怪的 Loader:

J0OrNYSOg9v0Cjx4aBkAtHuXIEVoNeFhaizDNPyL.png

攻击者使用的后门技术

攻击者利用 pyyaml 进行 RCE(远程代码执行),实现恶意代码下发,从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后,我们又获取了多个类似的恶意样本。

关键技术分析参考:https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning

慢雾安全团队通过对样本的深入分析,成功复现了攻击者利用 pyyaml 进行 RCE(远程代码执行)的攻击手法。

攻击关键分析

目标和动机

目标:攻击者的主要目标是通过入侵加密货币交易所的基础设施,获取对钱包的控制权,进而非法转移钱包中的大量加密资产。

动机:试图窃取高价值的加密货币资产。

技术手段

1. 初始入侵

  • 攻击者利用社会工程学手段,诱骗员工在本地设备或 Docker 内执行看似正常的代码。

  • 在本次调查中,我们发现攻击者使用的恶意软件包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator-main.zip`。这些文件伪装成合法的 Python 项目,但实则是远程控制木马,并且攻击者利用 pyyaml 进行 RCE,作为恶意代码的下发和执行手段,绕过了大多数杀毒软件的检测。

2. 权限提升

  • 攻击者通过恶意软件成功获取员工设备的本地控制权限,并且诱骗员工将 docker-compose.yaml 中的 privileged 设置为 true。

  • 攻击者利用 privileged 设置为 true 的条件进一步提升了权限,从而完全控制了目标设备。

3. 内部侦察和横向移动

  • 攻击者利用被入侵的员工电脑对内网进行扫描。

  • 随后,攻击者利用内网的服务和应用漏洞,进一步入侵企业内部服务器。

  • 攻击者窃取了关键服务器的 SSH 密钥,并利用服务器之间的白名单信任关系,实现横向移动至钱包服务器。

4. 加密资产转移

  • 攻击者成功获得钱包控制权后,将大量加密资产非法转移至其控制的钱包地址。

5. 隐藏痕迹

  • 攻击者利用合法的企业工具、应用服务和基础设施作为跳板,掩盖其非法活动的真实来源,并删除或破坏日志数据和样本数据。

过程

攻击者通过社会工程学手段诱骗目标,常见方式包括:

1. 伪装成项目方,寻找关键目标开发人员,请求帮助调试代码,并表示愿意提前支付报酬以获取信任。

我们追踪相关 IP 和 ua 信息后发现,这笔交易属于第三方代付,没有太多价值。

2. 攻击者伪装成自动化交易或投资人员,提供交易分析或量化代码,诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行,它会建立持久化后门,并向攻击者提供远程访问权限。

  • 攻击者利用被入侵设备扫描内网,识别关键服务器,并利用企业应用的漏洞进一步渗透企业网络。所有攻击行为均通过被入侵设备的 VPN 流量进行,从而绕过大部分安全设备的检测。

  • 一旦成功获取相关应用服务器权限,攻击者便会窃取关键服务器的 SSH 密钥,利用这些服务器的权限进行横向移动,最终控制钱包服务器,将加密资产转移到外部地址。整个过程中,攻击者巧妙利用企业内部工具和基础设施,使攻击行为难以被快速察觉。

  • 攻击者会诱骗员工删除调试运行的程序,并且提供调试报酬,以掩盖攻击痕迹。

此外,由于部分受骗员工担心责任追究等问题,可能会主动删除相关信息,导致攻击发生后不会及时上报相关情况,使得排查和取证变得更加困难。

应对建议

APT(高级持续性威胁)攻击因其隐蔽性强、目标明确且长期潜伏的特点,防御难度极高。传统安全措施往往难以检测其复杂的入侵行为,因此需要结合多层次网络安全解决方案,如实时监控、异常流量分析、端点防护与集中日志管理等,才能尽早发现和感知攻击者的入侵痕迹,从而有效应对威胁。慢雾安全团队提出 8 大防御方向和建议,希望可以为社区伙伴提供防御部署的参考:

1. 网络代理安全配置

目标:在网络代理上配置安全策略,以实现基于零信任模型的安全决策和服务管理。 

解决方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防护

目标:在 DNS 层实施安全控制,检测并阻止解析已知恶意域名的请求,防止 DNS 欺骗或数据泄露。 

解决方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 网络流量/主机监控与威胁检测

目标:分析网络请求的数据流,实时监测异常行为,识别潜在攻击(如 IDS/IPS),服务器安装 HIDS,以便尽早发现攻击者的漏洞利用等攻击行为。 

解决方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 网络分段与隔离

目标:将网络划分为较小的、相互隔离的区域,限制威胁传播范围,增强安全控制能力。 

解决方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),云平台安全组策略等。

5. 系统加固措施

目标:实施安全强化策略(如配置管理、漏洞扫描和补丁更新),降低系统脆弱性,提升防御能力。 

解决方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端点可见性与威胁检测

目标:提供对终端设备活动的实时监控,识别潜在威胁,支持快速响应(如 EDR),设置应用程序白名单机制,发现异常程序并及时告警。

解决方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日志管理与分析

目标:将来自不同系统的日志数据整合到统一平台,便于安全事件的追踪、分析和响应。

解决方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培养团队安全意识

目标:提高组织成员安全意识,能够识别大部分社会工程学攻击,并在出事后主动上报异常,以便更及时进行排查。

解决方案:区块链黑暗森林自救手册 (https://darkhandbook.io/), Web3 钓鱼手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外,我们建议周期性开展红蓝对抗的演练,以便识别出安全流程管理和安全防御部署上的薄弱点。

写在最后

攻击事件常常发生在周末及传统节假日期间,给事件响应和资源协调带来了不小的挑战。在这一过程中,慢雾安全团队的 23pds(山哥), Thinking, Reborn 等相关成员始终保持警觉,在假期期间轮班应急响应,持续推进调查分析。最终,我们成功还原了攻击者的手法和入侵路径。

回顾本次调查,我们不仅揭示了 Lazarus Group 的攻击方式,还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时,我们基于实际案例总结了针对 APT 攻击的防御建议,希望能为行业提供参考,帮助更多机构提升安全防护能力,减少潜在威胁的影响。网络安全对抗是一场持久战,我们也将持续关注类似攻击,助力社区共同抵御威胁。

热门币种推荐

你可能也喜欢

看跌阴云密布,价值21.3亿美元的比特币和以太坊期权到期

7月3日,加密货币市场迎来关键节点,价值约21.3亿美元的比特币和以太坊期权到期,为当前充满挑战的市场环境提供了新的投资者情绪洞察。 此次到期的比特币期权合约约3.1万份,名义价值约19亿美元,其认沽认购比为0.70,最大痛点为61,000美元。以太坊期权则到期13.5万份,价值约2.3亿美元,认沽认购比高达1.29,最大痛点水平为1,650美元。 以太坊认沽认购比高于1,表明认沽期权数量多于认购期权,这反映出许多交易者正在对冲进一步下跌风险或保持谨慎态度。期权到期持仓仍集中在关键伽玛暴露水平附近,比特币在60,000美元左右,以太坊则在1,700美元附近。尽管比特币本周重新站上60,000美元心理关口,但市场情绪依然喜忧参半。 除了期权活动,投资者注意力也日益转向传统金融市场,特别是人工智能和半导体股的动向。在数字资产行业内,代币化美股也成为一个主要话题。期权到期数据表明,交易者在进入第三季度时仍持谨慎态度。比特币虽收复重要支撑位,但以太坊的防御性定位和对冲活动的集中,显示出许多市场参与者仍在为波动加剧做准备,而非预期将出现决定性的牛市突破。 截至发稿,比特币交易价格最高达61,932美元,但24小时交易量下降24.43%,至333亿美元,过去24小时清算金额超过9484万美元。以太坊则回升至1,738美元附近交易区间,交易量降至124.7亿美元,清算金额达1.7146亿美元。

TheNewsCrypto1小时前

看跌阴云密布,价值21.3亿美元的比特币和以太坊期权到期

TheNewsCrypto1小时前

从SpaceX到贸易发票:通证化如何改变全球资金流动方式

你是否想过,如果一条WhatsApp消息需要经过验证、盖章和三个不同阶段清算,两天后才送达,会有多糟糕?我们期待实时通讯,为何对金融市场没有同样的期待?如今,买卖股票通常意味着先卖出、等待结算、然后才能再买入。但代币化股票可能改变这一切。 代币化趋势因SpaceX创纪录的750亿美元IPO而进入主流视野。此后,区块链平台开始提供SpaceX及英伟达、谷歌等知名公司的代币化资产,显示市场对通过区块链获取传统资产的需求增长。纳斯达克也向SEC申请批准在其交易所进行代币化证券交易,表明这一转变已不限于加密原生平台。 代币化股票本质上仍是股票,只是存在于区块链上。其公司、价值和权利与传统股票无异,但交易方式变了:可全天候交易、秒级结算、可拆分以降低投资门槛,并能跨境转移而无须依赖传统多层中介。虽然股票是当前焦点,但代币化正扩展至其他资产类别。据RWA.xyz数据,链上私人信贷已从约50亿美元增长至超100亿美元,房地产、大宗商品和结构化债务也在逐步上链。这些资产类别总值达数百万亿美元。 然而,并非所有区块链都适合机构级结算。许多公链优先考虑开放市场活动,费用波动和结算时间不定是可接受的折衷。但受监管的代币化需要可预测的费用、确定的结算和银行级基础设施——这正是大多数公链所缺乏的。XDC网络专注于此,早在代币化股票受关注前就提供了机构级代币化能力。该网络已处理超11亿美元代币化应收账款、私人信贷和大宗商品。例如在巴西,Liqi Digital Assets报告称,到2026年初其累计代币化信贷操作达12亿巴西雷亚尔(约2.3亿美元)。 XDC网络联合创始人Atul Khekade指出,代币化讨论多集中于本就易于流动的资产,更难的是那些从未可及的资产。这些市场规模大得多,基础设施差距是当前的主要障碍。我们正处于真正的“代币化十年”的开端,而非尾声。 BCG和Ripple预测,到2033年代币化资产市场规模将达18.9万亿美元。渣打银行预计,若计入跨境信贷,2034年将达30万亿美元。实现这些目标的关键在于基础设施——哪些网络能处理巨大体量、满足合规要求并符合尚未上链市场的机构预期。 监管环境也在转向支持。巴西、新加坡、英国和欧盟均已建立法律框架,赋予代币化金融工具正式地位。美国2025年7月通过的《GENIUS法案》为支付稳定币建立了联邦基础设施。焦点已不再是代币化是否被允许,而是其规模化应用的速度。 SpaceX的IPO让代币化有了一个标志性时刻,但支持其规模化的基础设施并非一夜建成。它是在市场那些未曾成为新闻的角落,历经多年构建起来的。这正是未来十年金融体系的运行基础。

ambcrypto1小时前

从SpaceX到贸易发票:通证化如何改变全球资金流动方式

ambcrypto1小时前

交易

现货

热门文章

如何购买APT

欢迎来到HTX.com!我们已经让购买Aptos(APT)变得简单而便捷。跟随我们的逐步指南,放心开始您的加密货币之旅。第一步:创建您的HTX账户使用您的电子邮件、手机号码注册一个免费账户在HTX上。体验无忧的注册过程并解锁所有平台功能。立即注册第二步:前往买币页面,选择您的支付方式信用卡/借记卡购买:使用您的Visa或Mastercard即时购买Aptos(APT)。余额购买:使用您HTX账户余额中的资金进行无缝交易。第三方购买:探索诸如Google Pay或Apple Pay等流行支付方法以增加便利性。C2C购买:在HTX平台上直接与其他用户交易。HTX场外交易台(OTC)购买:为大量交易者提供个性化服务和竞争性汇率。第三步:存储您的Aptos(APT)购买完您的Aptos(APT)后,将其存储在您的HTX账户钱包中。您也可以通过区块链转账将其发送到其他地方或者用于交易其他加密货币。第四步:交易Aptos(APT)在HTX的现货市场轻松交易Aptos(APT)。访问您的账户,选择您的交易对,执行您的交易,并实时监控。HTX为初学者和经验丰富的交易者提供了友好的用户体验。

891人学过发布于 2024.03.29更新于 2026.06.02

如何购买APT

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对APT(APT)币价的意见。

活动图片