3月24日凌晨,新加坡數字貨幣交易平臺DragonEx遭受駭客入侵。
導致使用者和平臺的數字資產被盜,初步估計平臺受損資產總額超4000萬人民幣。
昨日,降維安全實驗室(johnwick.io)預警多家交易平臺淪為國家級APT組織攻擊目標,經確認此次攻擊系國家級職業駭客所為,該預警入選國家智庫。
截圖來自降維安全官網
國家級駭客組織Lazarus針對數字貨幣交易平臺發起連續的攻擊行動,多個大型數字貨幣交易平臺均遭到不同程度的滲透攻擊。
該駭客組織與2014 年索尼影業遭駭客攻擊事件以及2016年孟加拉國銀行資料洩露事件和2017年席捲全球的“Wannacry”勒索病毒等著名攻擊事件有關。
經過360安全大腦進一步的追蹤溯源,發現這是一起由國家級駭客組織APT-C-26(Lazarus音譯”拉撒路”)針對OKEX等多家知名數字貨幣交易所發起的攻擊行動。
以下是來自360安全大腦對Lazarus攻擊過程的詳細分析:
攻擊過程分析
該組織在2018年10月註冊了wb-invest.net和wb-bot.org兩個域名,開始籌備攻擊。
根據開源的“Qt Bitcoin Trader”軟體修改加入惡意程式碼,改造成名字為“Worldbit-bot”的自動交易軟體。
然後使用之前註冊的域名偽裝成正規的數字貨幣自動交易軟體的官方網站,進行了長達半年時間的運營。
最終的收網攻擊,疑似發生於2019年1月和3月,該組織透過向大量的交易所官方人員推薦該軟體進行釣魚攻擊,最終導致相關人員中招,實施了進一步的數字貨幣盜取。
惡意程式碼分析
“Worldbit-bot”軟體和該組織去年實施的“Celas Trade Pro”攻擊在主體功能上無太大差異,屬於同一個攻擊框架。
1. 收集系統資訊並加密傳輸
2. 收集系統相關資訊
3.下載執行下一階段載荷並解密存入檔案執行
關聯分析
“Worldbit-bot”與“CelasTrade Pro”程式碼結構基本一致,僅發生了引數和部分金鑰的改變。
1.啟動引數發生改變
“Worldbit-bot”版本 “Celas Trade Pro”版本
2.通訊加密的異或金鑰發生改變
“Worldbit-bot”加密方式
“Celas Trade Pro” 加密方式
3.請求模板字串發生改變
“Worldbit-bot”版字串
“Celas Trade Pro”版字串
4.C&C發生改變
“Worldbit-bot”版C&C
“Celas Trade Pro”版C&C
5.下載資料時使用的RC4金鑰改變
“Worldbit-bot”版本 “Celas Trade Pro”版
6.載荷下載存放位置發生改變
“Worldbit-bot”版 “Celas Trade Pro”版
關於Lazarus組織:
APT-C-26(Lazarus 音譯"拉撒路")是從2009年以來至今一直處於活躍的APT組織。
這是繼去年360發現Lazarus組織針對數字加密貨幣的“Celas Trade Pro”攻擊後,360高階威脅應對團隊持續跟蹤發現該組織的又一起活躍攻擊行動。
值得注意的是,該組織攻擊目標不斷擴大,日趨以經濟利益為目的,並正在對多個大型數字貨幣交易所進行攻擊滲透。
最後,黑鑽君想說,在世界上的很多國家,加密貨幣是不受法律保護的。
所以最靠譜的方式還是防範於未然,投資者可以選擇一些去中心化的錢包或者冷錢包儲存,保障資產安全。
