美国网络安全公司Secureworks反恐威胁部门CTU（Counter Threat Unit）的研究人员于上周五表示，加密货币全球市场价格的持续上涨，吸引的不止是加密货币投资者，还包括一些黑客组织。

被众多网络安全公司怀疑为与朝鲜政府存在关系的APT组织Lazarus（音译“拉撒路”）就是其中之一。CTU表示，该组织针正在制定一项的计划并且已经开始执行，以窃取比特币业内人士的在线证书。

Lazarus堪称全球金融机构的首要威胁。该组织自2009年以来一直处于活跃状态，且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动。根据调查显示，该组织还与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关。

Secureworks在给路透社的一份声明中表示：“鉴于目前比特币价格的持续上涨，CTU怀疑朝鲜对加密货币的兴趣仍然很高。并且，可能继续围绕加密货币开展活动。”

不稳定的比特币价格在上个月飙升了近1万美元，并在月底上涨至了2万美元。截止到上周五，比特币价格普遍高于17,500美元，当天涨幅超过7％，至今其价格已上涨了18倍。

Secureworks说，就在上个月，它监测到了一起有针对性的鱼叉式网络钓鱼攻击活动，旨在欺骗受害者打开电子邮件中的恶意附件。

钓鱼电子邮件以“招聘”为主题，提供了一个位于伦敦的一家加密货币公司担任首席财务官（Chief Finance Officer，CFO）的职位。

恶意附件是一个嵌入了恶意宏的Microsoft Word文件，打开时会告诉受害者需要点击“启用编辑”才能继续查看内容。如果受害者按照指示进行了操作，则允许恶意宏进行下一阶段的攻击。

恶意宏会创建一个单独的诱饵文件，这其中就包括了对这个CFO职位的描述。研究人员指出，这是Lazarus常用的伎俩，在此前的活动中，他们也会从其他招聘网站上将相似的职位描述复制过来作为诱饵。

在受害者查看文档内容时，殊不知恶意宏正在后台安装远程访问木马程序（RAT，remote access Trojan）。它将允许攻击者可以完全访问受害者的计算机，并允许攻击者随时下载其他恶意软件。

研究人员表示，这是一种新型的木马程序，可能是为这起攻击活动而专门制作的。尽管如此，它依旧与Lazarus在之前活动中使用的恶意软件有一些共同点，比如依靠C2协议的组件与命令和控制服务器进行通信，这导致CTU更加坚信这起攻击活动是由Lazarus发起的。