在线无码中文破解|日本影院一区二区三区|五月激情Av在线|国产香蕉视频一区|国产老熟女AAAA|云霸高清91视频|久久久www视频|在线熟女网站无码视频|国产精品 国产|韩日精品中文字幕

BitMEX 揭開了 Lazarus 集團(tuán)黑客攻擊未遂事件的神秘面紗，揭露了長(zhǎng)期與朝鮮網(wǎng)絡(luò)戰(zhàn)部隊(duì)有關(guān)聯(lián)的這個(gè)團(tuán)體所犯下的粗心大意的錯(cuò)誤。

根據(jù) BitMEX 周五發(fā)布的博客文章，該團(tuán)隊(duì)現(xiàn)已建立內(nèi)部監(jiān)控系統(tǒng)，以監(jiān)視更多感染并可能發(fā)現(xiàn)未來的操作安全錯(cuò)誤。

整個(gè)事情開始于BitMEX有人在 LinkedIn 上聯(lián)系了一名員工，提議他從事虛假NFT市場(chǎng)項(xiàng)目，但該提議與 Lazarus 使用的已知網(wǎng)絡(luò)釣魚策略相符，因此該員工立即舉報(bào)，并開始全面調(diào)查。

BitMEX 的安全團(tuán)隊(duì)訪問了攻擊者共享的 GitHub 代碼庫(kù)，其中包含一個(gè) Next.js/React 項(xiàng)目。但其中隱藏著一些代碼，旨在讓員工在不知情的情況下在其系統(tǒng)上執(zhí)行惡意負(fù)載。團(tuán)隊(duì)沒有運(yùn)行這些代碼，而是直接進(jìn)行了分析。

BitMEX 剖析惡意軟件，發(fā)現(xiàn) Lazarus 指紋

BitMEX 工程師在代碼庫(kù)中搜索了“eval”一詞，這是惡意軟件中常見的危險(xiǎn)信號(hào)。其中一行代碼被注釋掉了，但仍然暴露了其意圖。如果該代碼處于活動(dòng)狀態(tài)，它會(huì)訪問“hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726”來獲取 cookie 并執(zhí)行。該域名此前已被 Palo Alto Networks 的 Unit 42 團(tuán)隊(duì)關(guān)聯(lián)到 Lazarus，該團(tuán)隊(duì)多年來一直在追蹤朝鮮的網(wǎng)絡(luò)活動(dòng)。

另一行曾是活躍。它向“hxxp://fashdefi[.]store:6168/defy/v5”發(fā)送了請(qǐng)求并執(zhí)行了響應(yīng)。BitMEX 手動(dòng)獲取了該 JavaScript 代碼，發(fā)現(xiàn)它被嚴(yán)重混淆。據(jù)報(bào)道，該團(tuán)隊(duì)使用反混淆代碼工具 webcrack 剝離了這些混淆層。最終輸出結(jié)果比較混亂，但可讀性尚可，因?yàn)樗雌饋硐袷侨齻€(gè)不同的腳本合并成了一個(gè)。

代碼的一部分包含 Chrome 擴(kuò)展程序的標(biāo)識(shí)符，這通常指向竊取憑證的惡意軟件。其中一個(gè)字符串 p.zi 看起來像是 BeaverTail 活動(dòng)中使用的舊版 Lazarus 惡意軟件，該活動(dòng)此前已被 Unit 42 記錄。由于 BeaverTail 組件已公開，BitMEX 決定不再對(duì)其進(jìn)行分析。

相反，他們專注于另一個(gè)發(fā)現(xiàn)：連接到 Supabase 實(shí)例的代碼。Supabase 是一個(gè)面向開發(fā)者的后端平臺(tái)，有點(diǎn)像 Firebase。問題是什么？Lazarus 開發(fā)者沒有鎖定它。當(dāng) BitMEX 測(cè)試它時(shí)，他們能夠直接訪問數(shù)據(jù)庫(kù)——無需登錄，沒有任何保護(hù)。

黑客暴露受感染的設(shè)備日志和他們自己的 IP

Supabase 數(shù)據(jù)庫(kù)包含 37 臺(tái)受感染機(jī)器的日志。每條日志都包含用戶名、主機(jī)名、操作系統(tǒng)、IP 地址、地理位置和時(shí)間戳。BitMEX 注意到了一些規(guī)律——一些設(shè)備重復(fù)出現(xiàn)，這使得它們很可能是開發(fā)或測(cè)試機(jī)器。大多數(shù)主機(jī)名的命名格式遵循 3-XXX 結(jié)構(gòu)。

許多 IP 地址來自 VPN 提供商。一位名為“Victor”的用戶經(jīng)常使用 Touch VPN 連接。另一位名為“GHOST72”的用戶則使用了 Astrill VPN。但 Victor 搞砸了。鏈接到他的一個(gè)條目使用了不同的 IP 地址——223.104.144.97，這是中國(guó)移動(dòng)位于中國(guó)嘉興的住宅 IP 地址。這并非 VPN 服務(wù)。這很可能是 Lazarus 運(yùn)營(yíng)者的真實(shí) IP 地址。BitMEX 將此標(biāo)記為重大操作故障。

BitMEX 隨后構(gòu)建了一個(gè)工具來持續(xù) ping Supabase 數(shù)據(jù)庫(kù)。自 5 月 14 日以來，該工具已從數(shù)據(jù)庫(kù)中收集了 856 條條目，這些條目可追溯到 3 月 31 日。其中有 174 個(gè)獨(dú)特的用戶名和主機(jī)名組合。該系統(tǒng)現(xiàn)在持續(xù)運(yùn)行，以查找新的感染或攻擊者的更多錯(cuò)誤。

通過檢查時(shí)間戳，BitMEX 發(fā)現(xiàn) Lazarus 的活動(dòng)在 UTC 時(shí)間上午 8 點(diǎn)到下午 1 點(diǎn)之間減少，也就是平壤時(shí)間下午 5 點(diǎn)到晚上 10 點(diǎn)。這符合其結(jié)構(gòu)化的工作時(shí)間表，進(jìn)一步證明該組織并非一群自由職業(yè)的黑客，而是一個(gè)有組織的團(tuán)隊(duì)。

安全團(tuán)隊(duì)確認(rèn) Lazarus 模式及內(nèi)部分裂

Lazarus 集團(tuán)以社會(huì)工程攻擊聞名。在 Bybit 數(shù)據(jù)泄露等早期事件中，他們?cè)T騙 Safe Wallet 的一名員工運(yùn)行惡意文件，從而獲得初始訪問權(quán)限。

然后，該團(tuán)隊(duì)的另一部分接管了該賬戶，訪問了 AWS 環(huán)境，并修改了前端代碼，從冷錢包中竊取加密貨幣。BitMEX 表示，這種模式表明該組織可能分成了多個(gè)小組——一些小組進(jìn)行基本的網(wǎng)絡(luò)釣魚攻擊，另一些小組在獲得訪問權(quán)限后進(jìn)行高級(jí)入侵。

BitMEX 寫道：“過去幾年里，該組織似乎已經(jīng)分裂成多個(gè)子組織，這些子組織的技術(shù)水平并不一定相同?！?安全團(tuán)隊(duì)表示，此次攻擊活動(dòng)也遵循了同樣的模式。LinkedIn 上最初的信息很簡(jiǎn)單，GitHub 代碼庫(kù)也比較業(yè)余。

但后漏洞利用腳本展現(xiàn)出更高的技巧，顯然是由經(jīng)驗(yàn)豐富的人編寫的。在對(duì)惡意軟件進(jìn)行反混淆后，BitMEX 能夠提取攻擊指標(biāo) (IoC) 并將其輸入到其內(nèi)部系統(tǒng)中。

他們重命名了變量，清理了腳本，并遵循了它的工作原理。代碼的早期部分是新的，而且據(jù)說將系統(tǒng)數(shù)據(jù)（用戶名、IP 等）直接發(fā)送到 Supabase，使任何找到開放數(shù)據(jù)庫(kù)的人都可以輕松進(jìn)行跟蹤。

BitMEX 還識(shí)別了開發(fā)過程中使用的機(jī)器。例如，Victor@3-KZH 使用了 Touch VPN 和中國(guó)移動(dòng)。GHOST72@3-UJS-2 和 Super@3-AHR-2 等其他機(jī)器則使用了 Astrill、Zoog 和 Hotspot Shield。日志甚至顯示了 Admin@3-HIJ、Lenovo@3-RKS、GoldRock@DESKTOP-N4VEL23 和 Muddy@DESKTOP-MK87CBC 等用戶賬戶。這些很可能是攻擊者設(shè)置的測(cè)試環(huán)境。

Cryptopolitan Academy：想在 2025 年實(shí)現(xiàn)財(cái)富增值嗎？歡迎參加我們即將推出的網(wǎng)絡(luò)課程，學(xué)習(xí)如何利用 DeFi 實(shí)現(xiàn)增值。保存您的位置