拉撒路集團(Lazarus Group)是一個與朝鮮緊密相關的網絡攻擊組織,最初為犯罪團伙,現被視為高級持續性威脅組織。該組織以復雜的網絡攻擊手段著稱,包括針對銀行、企業及政府的攻擊,知名事件有2014年對索尼影視的攻擊和2017年的WannaCry勒索軟件傳播。拉撒路集團也在加密貨幣盜竊方面活躍,目標包括韓國和全球多個國家。美國政府已對此組織實施制裁,並指控其參與多起網絡犯罪活動,並追踪其成員的可疑活動。
來源:維基百科
編譯:Yobo,預先新聞
以下內容譯自維基百科詞條「拉撒路集團」正文:
Lazarus Group (也被稱為「監護人」或「和平或WHOIS團隊」) ,研究人員已將多起網絡攻擊歸咎於他們。
該組織最初是一個犯罪團伙,如今因其攻擊意圖、造成的威脅,以及行動時使用的多種手段,已被認定為高級持續性威脅組織。網絡安全機構給他們起了不少別稱,比如「,比如「隱藏的眼鏡Serpent((Cobra),還有「鋅」或「鑽石sle(diamond Sleet)。據該國叛逃者kim kuk-song稱,該組織在朝鮮國內被稱為「414聯絡辦公室」。
Lazarus Group與朝鮮聯繫緊密。美國司法部宣稱,該組織是朝鮮政府戰略的一部分,目的是「破壞全球網絡安全……並違反制裁規定獲取非法收入」。朝鮮通過開展網絡行動能獲得諸多好處((()。
發展歷程
該組織已知最早發動的攻擊是2009年至,2012年,(ddos)技術,將位於首爾的韓國政府,將位於首爾的韓國政府作為目標。 2013年2013年,他們也發動了攻擊。雖然不能確定,但,2007年年針對韓國的一次攻擊也有可能是他們所為。該組織的一次著名攻擊發生在2014年,目標是索尼影視。 ,目標是索尼影視。 ,目標是索尼影視。這次攻擊運用了更複雜的技術,也顯示出該組織隨著時間推移變得越來越成熟。 ,也顯示出該組織隨著時間推移變得越來越成熟。
據報導,2015年,Lazarus Group從厄瓜多爾的奧斯特羅銀行盜走1200萬美元,還從越南的先鋒銀行盜走100萬美元。他們還將波蘭和墨西哥的銀行列為目標。 2016年的銀行盜竊案中盜竊案中不過實際被盜金額並不明確,而且大部分資金已追回。 ,而且大部分資金已追回。
目前尚不清楚該組織的真正幕後黑手是誰,但媒體報導指出,該組織與朝鮮有密切關聯。 ,2017年,卡巴斯基實驗室報告稱其內部一個被卡巴斯基稱為「Bluenoroff」的子組織,則專門從事金融網絡攻擊。卡巴斯基在全球發現多起攻擊事件
不過,卡巴斯基也承認,代碼的重複使用可能是一種「假旗行動」,目的是誤導調查人員,讓朝鮮背黑鍋,畢竟全球範圍內的「想哭」蠕蟲網絡攻擊就抄襲了美國國家安全局的技術。這種勒索軟件利用了美國國家安全局的「永恆之藍」漏洞,2017年4月,2017年,Symantec報告稱, 「wannaCry」攻擊極有可能是拉撒路集團所為。
2009年「特洛伊行動」
Lazarus Group的首次重大黑客事件發生在2009年7月4日,標誌著「特洛伊行動」的開始。這次攻擊利用「我的末日」和「推土機」惡意軟件,對美國和韓國的網站發起大規模但手法並不復雜的ddos攻擊。這波攻擊針對約36個網站,並在主引導記錄(MBR(MBR)中植入「獨立日紀念」的文字。
2013年操作1行動」/「黑暗首爾」行動)
隨著時間推移,該組織的攻擊手段愈發複雜;他們的技術和工具也更加成熟、有效。 ,2011年3月,目標是韓國的媒體、金融和關鍵基礎設施,採用了更複雜的ddos攻擊,2013年3月20日,「黑暗首爾」行動展開,這是一次擦除數據的攻擊,目標是韓國的三家廣播公司、金融機構和一家互聯網服務提供商。當時,另外兩個自稱「新羅馬網絡軍團」和「,whois團隊」的組織宣稱對此次攻擊負責,但研究人員當時並不知道背後主謀是lazarus group。如今,研究人員知道拉撒路集團是這些破壞性攻擊的主導者。
2014年:索尼影視遭入侵
2014年11月24日,Lazarus Group的攻擊達到高潮。當天,Reddit上出現一篇帖子,稱索尼影視被不明手段入侵,攻擊者自稱「和平衛士」。大量數據被盜取幾天裡逐漸洩露。一名自稱是該組織成員的人在接受采訪時表示,他們竊取索尼的數據已有一年多時間。 ,他們竊取索尼的數據已有一年多時間。
黑客得以訪問尚未發行的電影、部分電影劇本、未來電影計劃、公司高管薪資信息、電子郵件,以及約,4000名員工的個人信息。
2016年:「重磅炸彈行動」:「重磅炸彈行動」
以「重磅炸彈行動」為代號,由novetta牽頭的多家安全公司組成聯盟,對不同網絡安全事件中發現的惡意軟件樣本進行分析。利用這些數據,該團隊分析了黑客的作案手法。他們通過,該團隊分析了黑客的作案手法。他們通過代碼復用模式,將拉撒路組與多起攻擊關聯起來。例如,他們使用了一種在互聯網上鮮為人知的加密貨幣算法———「卡拉卡斯」密碼算法。
2016年
2016年Swift)網絡發出35條欺詐指令,10億美元。 35條5條成功轉移了1.01億美元,2000年,8100萬美元流向菲律賓。紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑,阻止了其餘30筆交易,涉及金額,8.5億美元。網絡安全專家稱,此次攻擊的幕後黑手是來自某國的拉撒路集團。
2017年5月WannaCry」勒索軟件攻擊
WannaCry」攻擊是一場大規模的勒索軟件網絡攻擊,2017年5月12日,NHS),到波音公司,甚至中國的一些大學,全球眾多機構都受到影響。這,全球眾多機構都受到影響。這次攻擊持續了7小時19分鐘。歐洲刑警組織估計,此次攻擊影響了150個國家的近20萬台計算機,主要受影響的地區包括俄羅斯、印度、烏克蘭和台灣地區。這是最早的加密貨幣蠕蟲攻擊之一。加密貨幣蠕蟲是一類惡意軟件,可通過網絡在計算機之間傳播,無需用戶直接操作即可感染————在這次攻擊中,tcp端口445。計算機感染該病毒無需點擊惡意鏈接,惡意軟件可自動傳播wannaCry」攻擊是首次大規模使用加密貨幣蠕蟲的攻擊之一。 」攻擊是首次大規模使用加密貨幣蠕蟲的攻擊之一。
攻擊方式:該病毒利用了Windows操作系統的漏洞,然後加密貨幣計算機數據,要求支付約,300美元價值的比特幣來獲取解密密鑰。為促使受害者付款,三天后贖金翻倍,如果一周內未支付,惡意軟件就會刪除加密的數據文件。惡意軟件使用了微軟開發的一款名為「Windows加密貨幣windows crypto,文件名會加上「wincry」後綴(wannacry)名稱的由來。 「溫瑟(Wincry)」是加密的基礎,Eternalblue)(double plouppulsar),使其成為加密貨幣蠕蟲。 「永恆之藍」可自動通過網絡傳播病毒,「雙脈衝星」則觸發病毒在受害者計算機上激活。也就是說,「永恆之藍」將受感染的鏈接傳播到你的計算機,「,「雙脈衝星」替你點擊了它。
安全研究員Marcus Hutchins從一家安全研究公司的朋友那裡收到該病毒樣本後,發現病毒中硬編碼了一個「殺毒開關」,從而終止了這次攻擊。該惡意軟件會定期檢查某個特定域名是否已,從而終止了這次攻擊。該惡意軟件會定期檢查某個特定域名是否已註冊,只有在該域名不存在時才會繼續進行加密操作。哈欽斯發現了這個檢查機制,隨後在協調世界時下午3點03分註冊了相關域名。惡意軟件立即停止傳播並感染新設備。這一情況很值得玩味,也為追踪病毒製作者提供了線索。通常情況下,阻止惡意軟件需要黑客和安全專家反复較量數月時間,如此輕易地獲勝令人始料未及。這次攻擊還有一個不同尋常之處,那就是支付贖金後文件也無法恢復:黑客僅收到16萬美元贖金,這讓很多人認為他們的目的並非錢財。
「殺毒開關」輕易被破解以及贖金收益微薄,讓很多人相信這次攻擊是由國家支持的;其動機並非經濟補償,而是製造混亂。攻擊發生後,安全專家追踪發現,「雙脈衝星」,「雙脈衝星」漏洞源自美國國家安全局,該漏洞最初是作為一種網絡武器開發的。後來,「影子經紀人」黑客組織竊取了這個漏洞,先是試圖拍賣,但未能成功,最後乾脆免費公開。美國國家安全局隨後將該漏洞信息告知微軟,微軟於,2017年3月14日,距離攻擊發生不到一個月。但這還不夠,由於更新並非強制安裝,到5月12日時,大多數,大多數存在該漏洞的計算機仍未修復,導致這次攻擊造成了驚人的破壞。 ,導致這次攻擊造成了驚人的破壞。
後續影響:美國司法部和英國當局後來認定
2017年
2018年,記錄了未來,Lazarus Group與針對加密貨幣比特幣和門羅幣用戶的攻擊有關,這些攻擊主要針對韓國用戶。據報導,這些攻擊在技術上與此前使用「想哭」勒索軟件lazarus Group黑客使用的手段之一是利用韓國文字處理軟件hangul (由hancom開發)目標是韓國學生和coinlink等加密貨幣交易平台的用戶。等加密貨幣交易平台的用戶。
如果用戶打開惡意軟件某國對加密的興趣有增無減,如今我們知道這種興趣涵蓋了包括挖礦、勒索軟件攻擊和直接盜竊等廣泛活動……」報告還指出,某國利用這些加密貨幣攻擊來規避國際金融制裁,某國利用這些加密貨幣攻擊來規避國際金融制裁。
2017年2月,某國黑客從韓國加密貨幣交易平台bithumb盜走700萬美元。另一家韓國比特幣交易公司Youbit在2017年4月,同年12月又因17%的資產被盜,不得不申請破產。 LAZARUSGroup和某國黑客被指是這些攻擊的幕後黑手。 2017年12月,加密貨幣雲挖礦市場,nicehash損失了4500多枚比特幣。一項調查更新顯示,此次攻擊與lazarus小組有關。
2019年9月
2019年9月,美國發佈公開警報,稱發現一種名為「電魚」的新型惡意軟件。自,2019年,某國特工在全球範圍內實施了,5起重大網絡盜竊,其中包括成功從科威特一家機構盜走4900萬美元。
2020年
由於新冠疫情持續蔓延,製藥公司成為拉撒路集團的主要目標。 LazarusGroup成員利用魚叉式網絡釣魚技術,偽裝成衛生官員,向製藥公司員工發送惡意鏈接。據信,多家大型製藥企業成為攻擊目標,多家大型製藥企業成為攻擊目標,但目前已確認的只有英瑞合資的阿斯利康公司。據路透社報導,眾多員工成為攻擊對象但可能包括:竊取敏感信息獲利、實施敲詐勒索計劃,以及讓外國政權獲取新冠病毒相關的專有研究成果。阿斯利康尚未對該事件發表評論,專家認為目前尚無敏感數據洩露。 ,專家認為目前尚無敏感數據洩露。
2021年1月針對網絡安全研究人員的攻擊事件
2021年1月,谷歌和微軟均公開報告稱,有一群來自某國的黑客通過社會工程學手段,對網絡安全研究人員發起攻擊,微軟明確指出該攻擊由,微軟明確指出該攻擊由
黑客在Twitter,github和領英等平台創建多個用戶資料,偽裝成合法的軟件漏洞研究人員,與安全研究社區的其他人發布的帖子和內容互動。然後,他們會直接聯繫特定的安全研究人員,他們會直接聯繫特定的安全研究人員,以合作研究為由,誘使受害者下載包含惡意軟件的文件,或訪問由黑客控制的網站上的博客文章。 ,或訪問由黑客控制的網站上的博客文章。
一些訪問了博客文章的受害者稱,儘管他們使用的是已完全安裝補丁的谷歌鉻,但計算機仍遭到入侵,這表明黑客可能利用了此前未知的谷歌在報告發佈時表示,無法確定具體的入侵方式。 ,無法確定具體的入侵方式。
2022年3月鏈遊AxieInfinity攻擊事件
2022年3月,Lazarus組被指從Axie Infinity遊戲使用的ronin網絡中竊取了價值6.2億美元的加密貨幣。聯邦調查局表示:「通過調查:我們確認,llazarus group和apt38 (與朝鮮有關聯的網絡((()是此次盜竊的幕後黑手。」
2022年6月地平線橋
聯邦調查局證實,拉撒路組(也被稱為(apt38)是2022年6月24日報導的從和諧的地平線橋竊取1億美元虛擬貨幣事件的幕後黑手。
2023年
區塊鏈安全平台Immunefi發布的一份報告稱,Lazarus組在2023年的加密貨幣黑客攻擊事件中,造成的損失超過,3億美元,佔當年總損失的17.6%。
2023年6月Atom錢包:2023年6月,Atom錢包服務的用戶被盜走價值超過1億美元的加密貨幣,聯邦調查局隨後證實了這一事件。 ,聯邦調查局隨後證實了這一事件。
2023年9月stake.com:2023年9月,聯邦調查局證實
美國製裁措施
2022年4月14日,OFAC)根據某國製裁條例第510.214條,將lazarus group(SDN列表)。 )
2024年
據印度媒體報導,當地一家名為wazirx的加密貨幣交易所遭到該組織攻擊,價值2.349億美元的加密貨幣資產被盜。
人員培養
據傳言,部分朝鮮黑客會被派往中國沉陽進行專業培訓,學習如何將各類惡意軟件植入計算機、計算機網絡和服務器。在朝鮮內部,金策工業綜合大學、金日成綜合大學和萬景台大學承擔相關教育任務,這些大學從全國選拔最優秀的學生,讓他們接受為期六年的特殊教育。除大學教育外,「一些最優秀的程序員……會被送到萬景台大學或mirim學院深造」。
組織分支
拉撒路集團被認為有兩個分支。
Bluenoroff
bluenoroff (也被稱為apt38 、「星辰千里馬」、「 beagleboyz 」、「鎳gladstone(」為apt38,CrowdStrike則稱其為「星辰千里馬」。
根據美國陸軍2020年的一份報告,Bluenoroff約有1700名成員,他們專注於長期評估並利用敵方網絡漏洞和系統,從事金融網絡犯罪活動,為該國政權獲取經濟利益或控制相關係統。 ,2014年年至2021年間,他們的目標包括至少13個國家的16家機構,這些國家有孟加拉國、智利、印度、墨西哥、巴基斯坦、菲律賓、韓國、台灣地區、土耳其和越南等。據信,這些非法所得被用於該國導彈和核技術的研發。
Bluenoroff最臭名昭著的攻擊是2016年,他們試圖通過,swift網絡,從某國中央銀行在紐約聯邦儲備銀行的賬戶非法轉移近100億美元。部分交易成功完成(,2000年, 8100萬美元流向菲律賓)後,紐約聯邦儲備銀行因一條指令拼寫錯誤產生懷疑,阻止了其餘交易。 ,阻止了其餘交易。
與bluenoroff:「darkcomet」「mimikatz」「nestegg」「mimikat」「mimikat」「麥克特魯克」「想哭」「withingout quickcafe」「rawhide」「smoothride」「smoothride」「 napshot」「mapmaker」「net. exe」「sysmon」「bootwreck」「清潔to cloceShave」「閉合dyepack dyepack」「愛馬仕」「twopence twopence twopence」「electryfish」「powerratankba powerspritz」等。
bluenoroff:網絡釣魚、設置後門、利用漏洞攻擊、水坑攻擊、利用過時且不安全的apache struts 2 版本在系統上執行代碼、戰略性地入侵網站,以及訪問linux服務器等。有報導稱,他們有時會與犯罪黑客合作。 ,他們有時會與犯罪黑客合作。
安達里爾
Andariel,Andarial,Andarial,還有別稱:Silent Chollima(silent chollima)(黑暗首爾)(步槍)(wassonite),wassonite),從邏輯上看,其特點是將,其特點是將韓國作為攻擊目標。安德里爾的別稱「沉默的千里馬」源於該組織行事隱秘的特性[70]。韓國的任何機構都可能受到安德里爾的攻擊,目標包括政府部門、國防機構以及各類經濟標誌性實體。 ,目標包括政府部門、國防機構以及各類經濟標誌性實體。
根據美國陸軍2020年的一份報告,安德里爾組織約有1600名成員,他們的任務是進行偵察、評估網絡漏洞,並繪製敵方網絡地圖以便實施潛在攻擊,他們還將其他,他們還將其他國家的政府、基礎設施和企業列為攻擊目標。攻擊手段包括:Activex 控件、韓國軟件漏洞、水坑攻擊、魚叉式網絡釣魚(宏病毒方式)、針對iT ((()(以及通過供應鏈(安裝程序和更新程序)發動攻擊。使用的惡意軟件有:a aryan)、灰鴿子遠程控制木馬( gh0st鼠),phandoor,phandoor 和安達拉特( Andarat)。
相關人員遭起訴情況
2021年2月2日,美國司法部起訴了朝鮮軍事情報機構偵察總局的三名成員-樸晉赫(公園Jin Hyok)(Jon Chang Hyok)(Kim Il Park),指控他們參與了拉撒路集團(LAZARUS)(拉撒路)的多起黑客攻擊活動。樸晉赫早在2018年9月,一名加拿大人和兩名中國人也被指控為拉撒路集團充當資金轉運者和洗錢者。
資訊來源:由0x資訊編譯自互聯網。版權歸作者所有,未經許可,不得轉載