慢雾：朝鲜Lazarus定向对加密行业进行大规模APT攻击活动

9月15日消息，慢雾首席信息安全官23pds发文称，据创宇威胁情报团队反馈，朝鲜APT组织Konni利用WinRAR漏洞（CVE-2023-38831）首次攻击数字货币行业。朝鲜APT组织Lazarus早已将数字货币行业作为攻击目标，主要针对加密货币/金融相关行业的攻击。但是本次的攻击活动首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。 本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞（CVE-2023-38831），这也是首次发现有APT组织利用此漏洞进行攻击。联想下最近从Stake被攻击，在到coinex等被攻击充分说明朝鲜黑客在披露大规模攻击加密货币交易平台等，用户需提高警惕。

7月26日消息，慢雾发推称，CoinsPaid、Atomic 与 Alphapo 攻击者或均为朝鲜黑客组织 Lazarus Group。慢雾表示，TGGMvM 开头地址收到了与 Alphapo 事件有关 TJF7md 开头地址转入的近 1.2 亿枚 TRX，而 TGGMvM 开头地址在 7 月 22 日时还收到了通过 TNMW5i 开头和 TJ6k7a 开头地址转入的来自 Coinspaid 热钱包的资金。而 TNMW5i 开头地址则曾收到了来自 Atomic 攻击者使用地址的资金。

金色财经报道，据慢雾首席信息安全官23pds在社交媒体上发文表示，Lazarus BlueNoroff团队使用新的macOS恶意软件再次对加密货币行业发起新的攻击。近日Lazarus BlueNoroff利用合法的加密货币交易所，在swissborg[.]com域下运行他们在URL swissborg[.]com/blog上托管的一个合法的博客，之后该恶意软件将命令和控制 (C2) URL拆分为两个单独的字符串，然后将它们连接在一起，从而逃避基于静态的检测。 而后BlueNoroff以投资者或猎头的身份接触目标，声称有兴趣与他们合作或为他们提供一些有收益的东西。骗取信任后投放MacOS 木马。 请加密货币平台运营者在内部流量控制系统中查询是否出现过相关访问记录。

金色财经报道，慢雾在分析过程中发现 CoinEx 黑客或为朝鲜黑客团伙 Lazarus Group，具体关联如下： 1. 已知的 Alphapo Exploiter (TDrs…WVjr) 通过 TransitSwap 将 TRX 兑换为 ETH 并跨链到地址 (0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d) ，故该地址在 ETH 链上也被标记为 Alphapo Exploiter。 2. 黑客地址 0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d 在 ETH 链上被标记为 Alphapo Exploiter，在 BSC 链上被标记为 Stake.com Exploiter，即该地址为共用地址 3. 0x75497999432B8701330fB68058bd21918C02Ac59 在 ARB 和 OP 链上被标记为 CoinEx Exploiter，在 Polygon 链上被标记为 Stake.com Exploiter，即该地址为共用地址 因 Stake.com Exploiter 已被 FBI 关联于朝鲜黑客团伙 Lazarus Group，所以 Alphapo Exploiter，Stake.com Exploiter 和 CoinEx Exploiter 或都为朝鲜黑客团伙 Lazarus Group。

金色财经报道，慢雾科技首席信息安全官23pds发文表示，Authy，仅次于Google Authenticator的流行2FA服务遭到黑客攻击，泄露3300万用户的电话号码。如果您是Authy用户，请警惕网络钓鱼攻击。 目前官方开发商Twilio已经确认了漏洞，加密货币行业有大量从业者使用此款2FA软件，请注意资产安全。

金色财经报道，据慢雾首席信息安全官23pds在社交媒体上发文表示，Polonniex被这种迅速、专业的手法来看，猜测应该是典型的被APT（Advanced Persistent Threat）攻击。APT攻击是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。