网络安全公司Proofpoint 发布了长达38页的报告披露“与朝鲜有关的黑客组织Lazarus Group的近期网络活动”。Lazarus Group正使用加密货币相关的鱼叉式网络诱饵，通过复杂的后门和探测性恶意软件感染目标，之后通过Gh0st RAT等恶意软件窃取加密货币钱包和交易平台的凭证，以盗取加密货币。

研究人员认为，这可能是首个被标记为“国家型黑客为了盗取信用卡数据发起的一系列攻击销售点相关框架的实例。此外，攻击者选择在假日购物季攻击PoS终端，这可能会造成重大的经济损失。

对多起鱼叉式网络钓鱼电子邮件进行分析后，研究人员发现一个基于PowerShell的探测植入程序（Implant）——PowerRatankba。

PowerRatankba分多阶段实施攻击

PowerRatankba使用的加密、模糊技术、功能、诱饵和C&C服务器与Lazarus Group开发的Ratankba非常相似。PowerRatankba通过以下攻击途径，借助网络钓鱼电子邮件活动进行传播：

Windows可执行下载程序“PowerSpritz”。

恶意Windows快捷方式（LNK）文件。

几个恶意微软编译的 HTML帮助（CHM）文件。

多个JavaScript（JS）下载程序。

基于宏的Office文档。

在钓鱼网站托管热门加密货币应用程序，并植入后门。

专注加密货币“爱好者”

PowerRatankba至少有两个变种，充当的是第一阶段的恶意软件，将功能齐全的后门（Gh0st RAT）传送给对加密货币感兴趣的目标企业、组织机构和个人。研究人员经过分析发现PowerRatankba的操作人员只关注对加密货币感兴趣的设备所有者。Gh0st RAT一旦安装就绪，网络犯罪分子便能窃取加密货币钱包和交易平台的凭证。

值得注意的是，PowerRatankba和Gh0st RAT并未利用任何0Day漏洞，相反，Lazarus Group依赖的是混合编程，例如通过HTTP与C&C服务器通信，使用Spritz加密算法和自定义Base64编码加密器。

早前，Lazarus Group曾被指成功黑进几家知名的加密货币公司和交易平台，韩国执法机构近期怀疑该组织窃取了价值1亿美元（约合人民币6.57亿元）的加密货币。

感染PoS终端窃取信用卡数据

除了盗窃加密货币，该组织还使用 RatankbaPOS 恶意软件感染韩国部署了SoftCamp（安全键盘软件）的零售点PoS机，以此窃取信用卡数据。

由于RatankbaPOS与PowerRatankba共享相同的C&C服务器，因此这两个植入程序被认为与Lazarus Group有关联。

细数Lazarus Group的“罪状”

Lazarus Group拥有大量工具、植入程序和漏洞利用，并且一直在持续开发。全球众多信息安全企业、执法机构和情报机构普遍认为Lazarus Group是朝鲜国家支持型黑客。

Lazarus Group自2009年开始活跃，曾被指操纵多起大规模攻击，包括入侵索尼影业，盗取孟加拉国央行8100万美元，以及肆虐全球的WannaCry勒索病毒。美国近期公开指责WannaCry的“真凶”就是朝鲜。2017年12月，韩国虚拟货币交易所Youbit价值数百万美元的比特币被窃，损失17%的资产被迫宣告破产。安全专家指责Lazarus group就是罪魁祸首。

Lazarus Group“向钱看”

加密货币价格一路走高，各路黑客也动起了歪脑筋希望大捞一笔。研究人员表示，Lazarus Group也越来越倾向于发起以经济为动机的攻击，似乎格外关注加密货币。目前，该组织瞄准的目标不仅限于组织机构，似乎也瞄准个人。相比之下，个人用户往往缺乏防御相关的知识和资源更易中圈套，这正好让国家支持型黑客有了“发财”的机会。