搶幣行動：朝鮮黑客全球大肆盜竊加密貨幣

朝鮮黑客國家隊動作不斷，Lazarus下屬小分隊BlueNoroff針對全球中小公司下手，卷走大量加密貨幣資金。

俄羅斯網絡安全公司卡巴斯基追蹤到了這波入侵活動，并為之命名“SnatchCrypto”（“搶幣行動”）。該公司指出，SnatchCrypto自2017年開始便四處出擊，足跡遍布中國、中國香港、印度、波蘭、俄羅斯、新加坡、斯洛文尼亞、捷克共和國、阿聯酋、美國、烏克蘭和越南，主要下手對象是金融科技行業的初創公司。

研究人員稱：“攻擊者將帶有監視功能的全功能Windows后門偽裝成合同或其他商務文檔，巧妙利用目標公司雇員的信任，誘使他們收下這些暗藏玄機的惡意文件。為最終掏空受害者的加密貨幣錢包，這一黑客組織開發出了全面而又危險的各類資源：復雜基礎設施、漏洞利用程序和惡意軟件植入物。”

BlueNoroff及其上級組織Lazarus以部署多樣化惡意軟件武器庫而聞名，常運用多種手段攻擊目標公司，非法攫取資金。他們慣于依靠各種高級網絡釣魚戰術和復雜惡意軟件，為飽受美國制裁的朝鮮挖掘經濟利益，支持其核武和彈道導彈研發項目。

事實上，這些網絡攻擊活動回報巨大。區塊鏈分析公司Chainalysis最近發布報告稱，僅2021年一年，Lazarus黑客組織就與七起加密貨幣平臺攻擊事件有關，卷走了價值近4億美元的數字資產，非法所得比2020年高出1億美元。

朝鮮相關黑客活動總數及所涉總金額

研究人員表示：“這些攻擊主要針對投資公司和中心化交易所，旨在從此類機構的聯網‘熱’錢包中抽取資金，流入朝鮮控制下的錢包地址。一旦得手，朝鮮便會展開小心謹慎的洗錢過程，通過加密貨幣混合器掩蓋蹤跡并提現。”

記錄在案的朝鮮黑客國家隊惡意活動多以針對外國金融機構的網絡劫案形式呈現，尤其是2015-2016年間的多起SWIFT銀行網絡黑客事件，最近的黑客活動則是部署名為AppleJeus的后門，偽裝成加密貨幣交易平臺，劫掠并轉移資金到他們的賬戶上

攻擊流程

在精心編造社會工程騙局騙取目標信任方面，SnatchCrypto攻擊并沒有獨樹一幟。他們偽裝成合法風險投資公司，誘騙受害者打開暗含惡意軟件的文檔，由此取得攻擊載荷，再由攻擊載荷運行通過加密信道從遠程服務器上獲取的惡意程序。

觸發感染鏈的另一種方法是使用Windows快捷方式文件（“.LNK”）來取得下一階段的惡意軟件，也就是Visual Basic（VB）腳本。作為跳轉點，取來的VB腳本執行一系列中間攻擊載荷，最后安裝上全功能后門。此后門“豐富”的功能包括截屏、鍵盤記錄、Chrome瀏覽器數據盜竊和任意命令執行。

活動范圍

不過，這些攻擊的最終目標是監視被黑用戶的金融交易并盜取加密貨幣。只要潛在目標使用Metamask等Chrome擴展來管理加密貨幣錢包，惡意黑客就能偷偷本地替換掉該瀏覽器擴展的主要組件，換上他們自己的虛假版本，實時監視受害者的大額轉賬操作。

為抽取資金，這伙黑客還會注入惡意代碼，按需攔截并篡改交易信息。研究人員解釋道：“攻擊者不僅僅修改收款[錢包]地址，還把轉賬金額拉到最高限額，基本上一次就榨干受害賬戶了。”

KnowBe4安全意識倡導者Erich Kron在聲明中稱：“說到網絡犯罪，加密貨幣行業可謂是重災區，因為加密貨幣本質上是去中心化的，而且不同于信用卡或銀行轉賬，加密貨幣交易幾乎瞬時完成，不可逆轉。”

“民族國家，尤其是受到嚴苛關稅或其他金融限制的民族國家，可以從盜竊和操縱加密貨幣上攫取巨大利益。很多情況下加密貨幣錢包都可以容納多種加密貨幣，是很誘人的攻擊目標。”

Chainalysis博客文章《非法持幣量創歷史新高，朝鮮黑客迎來高產豐年》：

https://blog.chainalysis.com/reports/north-korean-hackers-have-prolific-year-as-their-total-unlaundered-cryptocurrency-holdings-reach-all-time-high/