卡巴斯基实验室全球研究和分析团队(GReAT)的研究人员发现了AppleJeus——一种由臭名远扬的Lazarus网络犯罪组织发动的最新恶意攻击行动。攻击者使用包含木马的加密货币交易软件入侵亚洲地区的加密货币交易所网络。攻击者的目标是从受害者那里窃取加密货币。除了使用基于Windows的恶意软件外,研究人员还发现了一种之前未知的针对macOS平台的恶意软件。
这是卡巴斯基实验室研究人员首次发现臭名昭彰的Lazarus组织传播针对macOS用户的恶意软件,这对所有使用这种操作系统进行加密货币操作的用户是一个警告。
根据卡巴斯基实验室全球研究和分析团队的分析,对交易所基础设施的渗透是从一家企业员工从一个看上去合法的并且开发加密货币交易软件的公司的网站上下载一个第三方应用开始的。
下载的应用程序代码并不可疑,除了其中一个组件——即更新组件。在合法软件中,这类组件用来下载程序的最新版本。但是在AppleJeus中,它充当一个侦察模块:首先收集被安装的计算机的基本信息,将这些信息发送到命令和控制服务器,如果攻击者认为这台计算机值得攻击,再通过软件更新的形式获取恶意代码。恶意更新会安装一种名为Fallchill的木马,这是一种较老的攻击,Lazarus最近又开始重拾这种工具。这一事实为研究人员对这种恶意软件定性提供了基础。安装完成后,Fallchill木马会向攻击者提供对被攻击计算机几乎没有限制的访问权限,允许攻击者可以窃取宝贵的金融信息,或者部署用于实现这一目的的额外工具。
事实上,网络罪犯同时为Windows和macOS平台都开发了恶意软件,使得情况更加恶化。后者相较于Windows平台下的恶意软件,隐蔽性更强。而且这两个平台下的恶意软件功能完全一致。
AppleJeus攻击行动的另一个不同寻常之处在于,虽然其看起来像是供应链攻击,但事实上可能并非如此。 用来向受害者计算机传播恶意组件的加密货币交易软件开发商使用了合法的数字证书对其软件进行签名,其域名注册记录看上去也是合法的。至少根据可以公开获取到的信息是如此。卡巴斯基实验室研究人员无法发现使用该证书的地址有任何合法组织。
我们从2017年初开始注意到Lazarus组织对加密货币市场呈现出越来越浓的兴趣,当时在一台Lazarus运营者的服务器上安装了门罗币挖矿软件。从那时候开始,我们就多次发现该犯罪组织同时对加密货币交易所和普通的金融机构进行攻击。他们除了开发针对Windows用户的恶意软件外,还开发了感染macOS用户的恶意软件,他们很可能创建了一个假冒的软件公司和软件产品来传播这种恶意软件,以便躲避安全解决方案的检测。这些事实意味着他们看到整个攻击过程会有潜在巨大的利润,所以我们肯定会在不远的将来看到更多这类攻击。对macOS用户来说,这次发现是一个警钟,尤其是对使用Mac计算机继续加密货币交易的用户来说” ,卡巴斯基实验室全球研究和分析团队亚太区负责人Vitaly Kamluk说。
Lazarus网络犯罪组织以复杂的攻击行动和与北朝鲜有关而闻名,其名声不仅与其网络间谍攻击和网络破坏攻击有关,还因为其经常发动以经济、获利为目的的攻击。包括卡巴斯基实验室在内的多个研究人员之前都上报过该组织针对银行和其他金融企业的攻击。
为了保护您自身以及您的企业抵御Lazarus这类组织发动的复杂网络攻击,卡巴斯基实验室安全专家建议采取以下措施:
· 不要自动信任运行在您系统中的代码。也不要轻易信任看上去真实的网站或企业介绍,也不要轻易相信数字证书,因为它不能保证其签名的软件中不存在后门程序。
· 使用可靠的具备恶意行为检测技术的安全解决方案,该技术甚至能够检测之前未知的威胁。
· 为您的企业和组织的安全团队订阅高质量的威胁情报报告服务,从而可以较早地了解威胁领域最新的信息,掌握复杂的攻击者所采取的策略、技巧和步骤。
· 如果您经常需要处理重要的金融交易,请使用多因素认证和硬件电子钱包。为此,最好使用独立的计算机,不用它浏览互联网及阅读电子邮件。