與北韓國家有聯繫的網路間諜組織 BlueNoroff 正在升級針對加密貨幣產業的攻擊,特別是透過針對 MacOS 的惡意軟體活動
一個與北韓國家有關的網路間諜組織 BlueNoroff 最近升級了針對加密貨幣產業的攻擊,特別是透過名為「隱藏風險」的針對 MacOS 的惡意軟體活動。該活動涉及針對加密貨幣交易所和 DeFi 平台中不同職位的 MacOS 用戶的高級網路釣魚策略。
BlueNoroff 已轉向使用惡意電子郵件,聲稱是加密貨幣趨勢或研究報告的更新,以提供受感染的 PDF。下載這些檔案後,受害者會無意中觸發一系列針對其裝置的惡意軟體階段。最初的誘惑表現為與加密貨幣主題相關的合法新聞或研究內容,誘騙用戶下載模仿 PDF 檔案的惡意應用程式。安裝後,該惡意軟體會繞過 Apple 的內建安全檢查,秘密打開誘餌文檔,同時在受害者的 MacOS 系統上嵌入後門。
惡意軟體的多階段過程使駭客能夠遠端存取受感染的計算機,使他們能夠監視和控制用戶活動並檢索敏感數據,包括數位錢包的私鑰——對於處理大量加密貨幣的人來說,這是特別有價值的資產。
「隱藏風險」活動與 BlueNoroff 透過社群媒體參與瞄準受害者的傳統方法不同。從歷史上看,駭客會透過在 LinkedIn 或 Twitter 等平台上的長時間互動與個人建立信任,通常使用虛假的個人資料來顯得可信。在目前的活動中,BlueNoroff 選擇直接網路釣魚策略。該組織現在部署的電子郵件看起來像是緊急市場更新或獨家研究結果,主題包括“比特幣價格新一輪上漲背後的隱藏風險”或“山寨幣第2.0 季——值得關注的隱藏寶石。”
攻擊者經常冒充已知的加密行業人物或研究人員,利用不相關領域的真實專業人士的名字來進一步說服收件人相信電子郵件的真實性。例如,一封網路釣魚電子郵件引用了德州大學學者的一篇題為「比特幣 ETF:機會與風險」的研究論文,增加了收件者參與電子郵件內容的可能性。
「隱藏風險」惡意軟體最令人擔憂的方面之一是其先進的規避技術。該惡意軟體使用真正的 Apple 開發者 ID 進行簽名,這使其能夠繞過 Apple 的 Gatekeeper 安全機制,該機制旨在阻止不受信任的軟體。此外,它還利用了 macOS 系統中很少被利用的功能,修改「zshenv」設定檔以保持持久性。這種技術可以避免觸發 Apple 的後台警報通知,從而使用戶難以檢測和刪除惡意軟體。
SentinelLabs 的研究也顯示,駭客有可能取得或劫持有效的 Apple 開發者帳戶,使他們能夠重複繞過 macOS 的安全功能。這項發展對該行業構成了重大的安全威脅,尤其是在加密貨幣和金融領域的許多用戶越來越依賴 macOS 進行日常操作的情況下。
為了增強可信度,BlueNoroff 創建了一個廣泛的基礎設施網絡,模仿合法的加密貨幣和金融服務提供者。與 Web3 和 DeFi 公司等平台連結的網域名稱已使用信譽良好的網域註冊商(包括 Namecheap)進行註冊。駭客還利用自動化行銷工具來繞過垃圾郵件過濾器,確保網路釣魚電子郵件到達目標。涉及的託管提供者包括 Quickpacket、Routerhosting 和 Hostwinds,BlueNoroff 利用它們來託管其惡意基礎設施。
美國當局已經注意到北韓針對加密貨幣產業的網路活動。美國聯邦調查局已向加密貨幣公司發出警告,警告他們 BlueNoroff 等北韓支持的組織所構成的威脅不斷升級。在最近的一份公告中,FBI 指出針對 DeFi 平台上的工作人員的網路釣魚計畫有所增加,駭客利用利潤豐厚的工作機會或投資機會來欺騙受害者下載惡意軟體。
BlueNoroff 在網路策略方面的不斷發展凸顯了加密貨幣產業面臨的日益增長的風險。從複雜的社群媒體參與到直接網路釣魚電子郵件的轉變代表了對網路安全意識和先前執法打擊的適應性反應。透過利用 MacOS 漏洞和劫持有效的開發人員憑證,北韓威脅行為者已經提高了滲透設備並以最少的檢測提取敏感財務數據的能力。
網路安全專家建議業內的加密貨幣公司和個人加強其安全協議。檢查意外的電子郵件附件、監控系統檔案中未經授權的更改以及及時更新 macOS 等步驟可以緩解其中一些威脅。也鼓勵公司定期進行安全審計,並教育其團隊識別網路釣魚計畫。隨著 BlueNoroff 持續專注於加密領域,強大的網路安全實踐對於保護數位資產免受日益先進的網路威脅至關重要。
以上是北韓網路間諜組織 BlueNoroff 升級對加密貨幣產業的攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!
