據區塊鏈安全公司 CertiK 稱,北韓的 Lazarus Group (拉撒路集團) 已發起一項名為 Mach-O Man 的新 macOS 惡意軟體活動,該活動利用虛假的線上會議邀請,誘騙加密貨幣和金融科技公司高管在其設備上執行惡意指令。
CertiK 資深區塊鏈安全研究員 Natalie Newson 表示,北韓的 Lazarus Group (拉撒路集團) 正在進行一項名為 Mach-O Man 的新活動,該活動針對加密貨幣、金融科技和其他高價值企業的高管,將惡意軟體傳播偽裝成在一次虛假商務會議期間的例行技術修復。該活動於 4 月 22 日披露,代表了該集團迄今為止在操作上最複雜的社交工程方法之一。
攻擊鏈始於透過 Telegram 發送的一個看似緊急的會議邀請,冒充 Zoom、Microsoft Teams 或 Google Meet 通話。該連結導向一個看似可信但實為虛假的網站,該網站會指示受害者將單一指令貼到他們的 Mac 終端機中,以解決一個看似的連線問題,CertiK 將此技術識別為 ClickFix。一旦執行,該指令就會安裝一個由為 Apple 環境量身定制的本地 Mach-O 二進位檔案組成的模組化惡意軟體套件,該套件會對主機進行分析、建立持久性,並透過基於 Telegram 的指令與控制通道竊取憑證和瀏覽器資料。關鍵的是,該工具包在完成任務後會自動刪除,這使得檢測和鑑識分析極為困難。CertiK 的 Newson 告訴 CoinDesk:「這些虛假的驗證步驟引導受害者透過鍵盤快捷鍵運行有害指令。該頁面看起來很真實,指令看起來很正常,而且受害者是自己啟動動作的,這就是為什麼傳統安全控制措施經常會錯過它的原因。」
與依賴緊急提示或可疑寄件者位址的傳統網路釣魚攻擊不同,Mach-O Man 活動在傳送時旨在看起來完全是例行性的。加密貨幣和金融科技領域的高管經常收到投資者、研究人員和業務合作夥伴的主動聯繫,這使得虛假會議邀請格式成為一種可信的誘餌,而這是一般性網路釣魚通常無法比擬的。CertiK 的分析指出,Mach-O Man 框架與 Lazarus 的「千里馬 (Famous Chollima)」部門有關,並透過被入侵的 Telegram 帳戶進行分發,專門針對數位資產領域的高價值組織。大多數受害者直到惡意軟體自行清除很久之後,才會意識到自己已被入侵。Newson 說:「他們可能還不知道。如果他們知道,他們可能也無法識別是哪種變體影響了他們。」
CertiK 已將 Mach-O Man 活動與 Lazarus 更廣泛的攻勢聯繫起來,該攻勢在不到兩週的時間內從 DeFi 平台 Drift 和 KelpDAO 竊取了超過 5 億美元,使自 2017 年以來累積的盜竊總額達到估計的 67 億美元。聯合國此前估計,北韓駭客已竊取數十億美元的數位資產,以資助該國的武器計畫。Newson 說:「Lazarus 目前特別危險的原因是他們的活動程度。這不是隨機駭客行為。這是一項由國家指導的金融行動,其規模和速度堪比機構。」CertiK 建議加密貨幣專業人士在點擊任何連結或從任何未經請求的邀請中下載任何附件之前,透過獨立的管道驗證所有會議請求。
CertiK 已將與 Mach-O Man 活動相關的入侵指標分享給更廣泛的安全社群,以支持整個產業的檢測和防禦工作。
