【慢雾:朝鲜Lazarus定向对加密行业进行大规模APT攻击】

【慢雾:朝鲜Lazarus定向对加密行业进行大规模APT攻击】2023年09月12日04点10分老不正经报道,近日,慢雾联合合作伙伴发现朝鲜Lazarus团伙定向对加密货币行业进行的大规模APT攻击活动。攻击手法如下:首先进行身份伪装,通过实人认证骗过审核人员并成为真实客户,而后真实入金存款。在此客户身份掩护下,在之后多个官方人员和客户(攻击者)沟通时间点上针对性地对官方人员精准投放Mac或Windows定制木马,获得权限后进行内网横向移动,长久潜伏从而达到盗取资金的目的。目前慢雾已经与合作伙伴狩猎到攻击者使用的域名和木马样本。

相关推荐

封面图片

【慢雾:注意防范APT组织Lazarus Group黑客攻击】

【慢雾:注意防范APT组织LazarusGroup黑客攻击】据慢雾区情报,朝鲜APT组织LazarusGroup使用一系列恶意应用程序针对数字货币行业进行定向APT攻击。针对该事件,我们给出以下防范建议:1.建议行业从业人员随时关注国内外各大威胁平台安全情报,做好自我排查,提高警惕。2.开发人员运行可执行程序之前,做好必要的安全检查。3.做好零信任机制,可以有效降低这类威胁带来的风险。4.建议Mac/Windows实机运行的用户保持安全软件实时防护开启,并随时更新最新病毒库。
封面图片

【慢雾CISO:朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】

【慢雾CISO:朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】2023年09月15日03点40分9月15日消息,慢雾首席信息安全官23pds发文称,据创宇威胁情报团队反馈,朝鲜APT组织Konni利用WinRAR漏洞(CVE-2023-38831)首次攻击数字货币行业。朝鲜APT组织Lazarus早已将数字货币行业作为攻击目标,主要针对加密货币/金融相关行业的攻击。但是本次的攻击活动首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞(CVE-2023-38831),这也是首次发现有APT组织利用此漏洞进行攻击。联想下最近从Stake被攻击,在到coinex等被攻击充分说明朝鲜黑客在披露大规模攻击加密货币交易平台等,用户需提高警惕。
封面图片

【慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus】

【慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus】2023年07月26日08点45分7月26日消息,慢雾发推称,CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织LazarusGroup。慢雾表示,TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX,而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。
封面图片

【FBI证实Lazarus Group和APT38应对Harmony黑客攻击负责】

【FBI证实LazarusGroup和APT38应对Harmony黑客攻击负责】联邦调查局周一证实,Lazarus集团和APT38是去年6月对Harmony进行1亿美元攻击的幕后黑手,他们试图通过RAILGUN隐私协议来洗钱。LazarusGroup和APT38是与朝鲜有关的网络行为者,在6月24日报道的Harmony的Horizon桥上实施了1亿美元的虚拟货币盗窃。这次黑客攻击与一个名为"TraderTraitor"的恶意软件活动有关,该活动由朝鲜民主主义人民共和国领导。朝鲜利用从黑客中获得的资金来资助其弹道导弹和大规模杀伤性武器计划。去年4月,Lazarus集团与价值6亿美元的Ronin漏洞有关。
封面图片

【慢雾:Harmony Horizon bridge遭攻击简析】

【慢雾:HarmonyHorizonbridge遭攻击简析】据慢雾安全团队消息,HarmonyHorizonbridge遭到黑客攻击。经慢雾MistTrack分析,攻击者(0x0d0...D00)获利超1亿美元,包括11种ERC20代币、13,100ETH、5,000BNB以及640,000BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为ETH,接着将ETH均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约85,837ETH暂无转移,同时,攻击者在BNB链暂无资金转移操作。慢雾MistTrack将持续监控被盗资金的转移。
封面图片

【慢雾CISO:注意暗网中出现针对macOS大规模攻击的软件macOS-HVNC】

【慢雾CISO:注意暗网中出现针对macOS大规模攻击的软件macOS-HVNC】2023年08月03日10点52分8月3日消息,据慢雾首席信息安全官23pds发推称,慢雾注意到最近暗网出现针对macOS大规模攻击的软件macOS-HVNC,Mac电脑和设备因其安全性和可用性比较好而被加密货币个人和中小企业广泛使用。macOSHVNC特性包括:隐藏操作,HVNC被设计为以隐身模式运行,使个人和中小企业难以检测到其系统上的存在,这种隐藏的操作允许网络犯罪分子在不引起怀疑的情况下保持访问权限;维持权限,HVNC通常包括确保即使在系统重新启动或尝试将其删除后仍保持活动状态的机制;数据盗窃,HVNC的主要目的是从个人、员工的计算机中窃取敏感信息,例如登录凭据、个人数据、虚拟资产、财务信息或其他有价值的数据;远程控制:HVNC允许网络犯罪分子远程控制计算机,使他们能够完全访问系统。尽管Mac历来较少成为网络犯罪分子的目标,但攻击者现在正在开发更多的macOS恶意软件,注意风险。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人