BitMEX员工被朝鲜黑客集团拉撒路集团钓鱼 随后安全团队反手入侵黑客服务器
山外的鸭子哥
朝鲜黑客组织拉撒路集团最近几年从传统攻击转向加密货币领域的攻击,相较于传统网络攻击,转向加密货币领域的攻击后可以快速盗取加密货币并兑换为法定货币,在 Web3 领域遭到拉撒路集团攻击的项目数不胜数。
为此安全业界也对拉撒路集团进行反击行动,此次由加密货币交易所 BitMEX 安全团队发布的调查报告揭露拉撒路集团不同团队的技术水平,其中低技能业务组负责钓鱼,而且手段比较拙劣。
BitMEX 的反击行动也非常有趣,拉撒路集团低技能团队通常负责对目标发起社工攻击,BitMEX 的员工收到冒充某 Web3 项目团队的邀请,这是拉撒路团队的常用手段,如果目标接受邀请则会被要求加入某个 GitHub 项目并要求在本地计算机上运行相关代码。
BitMEX 被钓鱼的员工也看到过类似的新闻报道,于是向安全团队报告此事,BitMEX 的安全团队则是假装自己已经上钩并继续与对方沟通,然后通过项目中的漏洞入侵了这个低技能团队使用的服务器。
研究人员在此次反击行动中还曝光拉撒路集团使用的 IP 地址、数据库和追踪算法,有趣的是拉撒路集团确实使用 VPN 来掩盖自己的真实 IP,但由于存在懈怠性导致并非每次都使用 VPN。
可能是在某次行动中拉撒路集团成员忘记使用 VPN 掩盖自己的真实信息,导致其真实 IP 地址被暴露,这个 IP 地址显示黑客的实际位置并非在朝鲜,而是在朝鲜某邻国的南方城市中。
当然这也完全可以理解,根据此前的溯源调查报告,拉撒路集团分为多个不同的业务组,每个业务组负责的工作不同,而且不少成员以海外务工名义或跟随领事馆在海外然后从事黑客行为。
BitMEX 的安全报告揭露拉撒路集团不同业务组的技能水平,其中低技能团队主要负责社交工程类的攻击,例如通过诱骗等多种方式诱导目标用户下载恶意软件并与之交互;而高技能团队则负责开发高级代码,包括利用各种复杂漏洞。
不过即便这些业务组存在非常明显的不对称性,但毕竟最终目的都是服务于成功实施攻击并达到获取金钱的目的,所以不同威胁能力的团队会协作欺骗目标用户。
