原文標(biāo)題：《Demystifying the North Korean Threat》

原文作者：samczsun，Paradigm 研究合伙人

原文編譯：Bright，F(xiàn)oresight News

二月的一個(gè)早晨，SEAL 911 群組的燈亮了，我們困惑地看著 Bybit 從他們的冷錢(qián)包中取出超過(guò) 10 億美元的代幣到一個(gè)全新的地址，然后迅速開(kāi)始清算超過(guò) 2 億美元的 LST。幾分鐘內(nèi)，我們從 Bybit 團(tuán)隊(duì)和獨(dú)立分析（多重簽名，之前使用公開(kāi)驗(yàn)證的 Safe Wallet 實(shí)現(xiàn)，現(xiàn)在使用新部署的未經(jīng)驗(yàn)證的合約）確認(rèn)，這實(shí)際上不是例行維護(hù)。有人發(fā)動(dòng)了加密貨幣歷史上最大的黑客攻擊，而我們是坐在歷史戲幕的最前排。

雖然團(tuán)隊(duì)的一部分成員（以及更廣泛的偵查社區(qū)）開(kāi)始追蹤資金并向合作交易所發(fā)送通知，但團(tuán)隊(duì)的其他成員正在試圖弄清楚到底發(fā)生了什么，以及是否有其他資金處于危險(xiǎn)之中。幸運(yùn)的是，識(shí)別肇事者很容易。在過(guò)去幾年中，只有一個(gè)已知的威脅者成功從加密貨幣交易所竊取了數(shù)十億美元：朝鮮，也稱(chēng)為 DPRK。

然而，除此之外，我們幾乎沒(méi)有什么可用的線索。由于朝鮮黑客的狡猾性格和他們自我隱匿的高超手段，不僅很難確定入侵的根本原因，而且甚至很難知道究竟是朝鮮內(nèi)部的哪個(gè)特定團(tuán)隊(duì)?wèi)?yīng)對(duì)此負(fù)責(zé)。我們唯一能依靠的就是現(xiàn)有的情報(bào)，這些情報(bào)表明朝鮮確實(shí)喜歡通過(guò)社會(huì)工程學(xué)來(lái)入侵加密貨幣交易所。因此，我們猜測(cè)朝鮮很可能入侵了 Bybit 的多重簽名者，然后部署了一些惡意軟件來(lái)干擾簽名過(guò)程。

事實(shí)證明，這個(gè)猜測(cè)完全是無(wú)稽之談。幾天后我們就發(fā)現(xiàn)，朝鮮實(shí)際上已經(jīng)破壞了 Safe Wallet 本身的基礎(chǔ)設(shè)施，并部署了專(zhuān)門(mén)針對(duì) Bybit 的惡意過(guò)載。這種復(fù)雜程度是任何人都未曾考慮或準(zhǔn)備過(guò)的，這對(duì)市面上的許多安全模型來(lái)說(shuō)是一個(gè)重大挑戰(zhàn)。

朝鮮黑客對(duì)我們的行業(yè)構(gòu)成了日益嚴(yán)重的威脅，我們無(wú)法擊敗一個(gè)我們不了解或不理解的敵人。關(guān)于朝鮮網(wǎng)絡(luò)行動(dòng)的各個(gè)方面，有大量記錄在案的事件和文章，但很難將它們拼湊在一起。我希望這篇概述能讓人們更全面地了解朝鮮的運(yùn)作方式以及他們的策略和程序，從而讓我們更容易實(shí)施正確的緩解措施。

組織結(jié)構(gòu)

也許需要解決的最大誤解就是如何對(duì)朝鮮的大量網(wǎng)絡(luò)活動(dòng)進(jìn)行分類(lèi)和命名。雖然口語(yǔ)中使用「Lazarus Group」一詞來(lái)概括是可以接受的，但在詳細(xì)討論朝鮮的系統(tǒng)性網(wǎng)絡(luò)威脅時(shí)，使用更嚴(yán)謹(jǐn)?shù)恼f(shuō)法會(huì)有所幫助。

首先，了解朝鮮的「組織結(jié)構(gòu)圖」會(huì)有所幫助。朝鮮最高層是朝鮮的執(zhí)政黨（也是唯一的執(zhí)政黨）——朝鮮勞動(dòng)黨 (WPK)，朝鮮所有政府機(jī)構(gòu)都受其領(lǐng)導(dǎo)。其中包括朝鮮人民軍 (KPA) 和中央委員會(huì)。人民軍內(nèi)有總參謀部 (GSD)，偵察總局 (RGB) 就設(shè)于此。中央委員會(huì)下屬有軍需工業(yè)部 (MID)。

RGB 負(fù)責(zé)幾乎所有朝鮮網(wǎng)絡(luò)戰(zhàn)，包括加密貨幣行業(yè)觀察到的幾乎所有朝鮮活動(dòng)。除了臭名昭著的 Lazarus Group，RGB 中出現(xiàn)的其他威脅行為者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面，MID 負(fù)責(zé)朝鮮的核導(dǎo)彈計(jì)劃，是朝鮮 IT 工作者的主要來(lái)源，情報(bào)界將其稱(chēng)為 Contagious Interview 和 Wagemole。

拉撒路集團(tuán) (Lazarus Group)

拉撒路集團(tuán) (Lazarus Group) 是一個(gè)高度復(fù)雜的黑客組織，網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，歷史上一些規(guī)模最大、破壞性最強(qiáng)的黑客攻擊都是該組織所為。2016 年，Novetta 在分析索尼影視娛樂(lè) (Sony) 黑客攻擊事件時(shí)首次發(fā)現(xiàn)了 Lazarus Group。

2014 年，索尼正在制作動(dòng)作喜劇片《刺殺金正恩》，其主要情節(jié)點(diǎn)是金正恩遭受羞辱以及隨后的刺殺?？梢岳斫?，這并沒(méi)有受到朝鮮政權(quán)的歡迎，朝鮮政權(quán)通過(guò)入侵索尼網(wǎng)絡(luò)、竊取數(shù) TB 的數(shù)據(jù)、泄露數(shù)百 GB 的機(jī)密或其他敏感信息并刪除原件進(jìn)行了報(bào)復(fù)。正如當(dāng)時(shí)的首席執(zhí)行官邁克爾·林頓所說(shuō)，「干這種事的人不僅偷走了房子里的所有東西，他們還把房子燒毀了」。最終，索尼在這次攻擊中的調(diào)查和補(bǔ)救費(fèi)用至少為 1500 萬(wàn)美元，損失可能更多。

隨后在 2016 年，一個(gè)與 Lazarus Group 極為相似的黑客入侵了孟加拉國(guó)銀行，意圖竊取近 10 億美元。在一年的時(shí)間里，黑客努力對(duì)孟加拉國(guó)銀行的員工進(jìn)行社會(huì)工程學(xué)攻擊，最終獲得遠(yuǎn)程訪問(wèn)權(quán)限并在銀行內(nèi)部網(wǎng)絡(luò)內(nèi)移動(dòng)，直至到達(dá)負(fù)責(zé)與 SWIFT 網(wǎng)絡(luò)交互的計(jì)算機(jī)。從那時(shí)起，他們就等待絕佳的攻擊機(jī)會(huì)：孟加拉國(guó)銀行周四休周末，但紐約聯(lián)邦儲(chǔ)備銀行周五休周末。

孟加拉國(guó)當(dāng)?shù)貢r(shí)間周四晚上，威脅行為者利用其對(duì) SWIFT 網(wǎng)絡(luò)的訪問(wèn)權(quán)限向紐約聯(lián)邦儲(chǔ)備銀行發(fā)送了 36 個(gè)單獨(dú)的轉(zhuǎn)賬請(qǐng)求，當(dāng)時(shí)是當(dāng)?shù)貢r(shí)間周四早上。在接下來(lái)的 24 小時(shí)內(nèi)，紐約聯(lián)邦儲(chǔ)備銀行將這些轉(zhuǎn)賬轉(zhuǎn)發(fā)給菲律賓的黎剎商業(yè)銀行 (RCBC)，后者開(kāi)始采取行動(dòng)。隨后，當(dāng)孟加拉銀行重新開(kāi)門(mén)營(yíng)業(yè)時(shí)，發(fā)現(xiàn)了黑客攻擊事件，他們?cè)噲D通知黎剎商業(yè)銀行停止正在進(jìn)行的交易，卻發(fā)現(xiàn)黎剎商業(yè)銀行因?yàn)檗r(nóng)歷新年放假已經(jīng)關(guān)閉。

最后，2017 年，大規(guī)模的 WannaCry 2.0 勒索軟件攻擊摧毀了世界各地的行業(yè)，部分原因被歸咎于 Lazarus Group。據(jù)估計(jì)，WannaCry 造成了數(shù)十億美元的損失，它利用了 NSA 最初開(kāi)發(fā)的 Microsoft Windows 0day，不僅加密了本地設(shè)備，還傳播到其他可訪問(wèn)的設(shè)備，最終感染了全球數(shù)十萬(wàn)臺(tái)設(shè)備。幸運(yùn)的是，由于安全研究員 Marcus Hutchins 在八小時(shí)內(nèi)發(fā)現(xiàn)并激活了終止開(kāi)關(guān)，最終損失被限制在了一定范圍內(nèi)。

縱觀 Lazarus Group 的發(fā)展歷程，他們展現(xiàn)出了極高的技術(shù)能力和執(zhí)行力，而他們的目標(biāo)之一就是為朝鮮政權(quán)創(chuàng)造收入。因此，他們將注意力轉(zhuǎn)向加密貨幣行業(yè)只是時(shí)間問(wèn)題。

衍生

隨著時(shí)間的推移，隨著 Lazarus Group 成為媒體描述朝鮮網(wǎng)絡(luò)活動(dòng)時(shí)喜歡使用的統(tǒng)稱(chēng)，網(wǎng)絡(luò)安全行業(yè)為 Lazarus Group 和朝鮮的具體活動(dòng)創(chuàng)造了更精確的名稱(chēng)。APT38 就是一個(gè)例子，它于 2016 年左右從 Lazarus Group 分離出來(lái)，專(zhuān)注于金融犯罪，首先針對(duì)銀行（如孟加拉國(guó)銀行），然后是加密貨幣。后來(lái)在 2018 年，一種名為 AppleJeus 的新威脅被發(fā)現(xiàn)正在傳播針對(duì)加密貨幣用戶(hù)的惡意軟件。最后，早在 2018 年，當(dāng) OFAC 首次宣布對(duì)朝鮮人使用的兩家幌子公司實(shí)施制裁時(shí)，冒充 IT 工作者的朝鮮人就已經(jīng)滲透到科技行業(yè)。

朝鮮 IT 工作者

盡管最早有記錄顯示提到朝鮮 IT 工作者來(lái)自 2018 年 OFAC 制裁，但 Unit 42 的 2023 年報(bào)告進(jìn)行了更詳細(xì)的說(shuō)明，并確定了兩個(gè)不同的威脅行為者：Contagious Interview 和 Wagemole。

據(jù)悉，Contagious Interview 會(huì)冒充知名公司的招聘人員，誘騙開(kāi)發(fā)人員參與虛假的面試流程。隨后，潛在候選人被指示克隆一個(gè)存儲(chǔ)庫(kù)進(jìn)行本地調(diào)試，表面上是作為編碼挑戰(zhàn)，但實(shí)際上該存儲(chǔ)庫(kù)包含一個(gè)后門(mén)，執(zhí)行后門(mén)會(huì)將受影響機(jī)器的控制權(quán)交給攻擊者。該活動(dòng)一直在進(jìn)行中，最近一次記錄是在 2024 年 8 月 11 日。

另一方面，Wagemole 特工的主要目標(biāo)不是雇傭潛在受害者，而是被公司雇傭，在那里他們只是像普通工程師一樣工作，盡管效率可能不高。話雖如此，有記錄顯示 IT 工作者利用他們的訪問(wèn)權(quán)限進(jìn)行攻擊，例如在 Munchables 事件中，一名與朝鮮活動(dòng)有關(guān)聯(lián)的員工利用他們對(duì)智能合約的特權(quán)訪問(wèn)權(quán)限竊取了所有資產(chǎn)。

Wagemole 特工的復(fù)雜程度各不相同，從千篇一律的簡(jiǎn)歷模板和不愿參加視頻通話，到高度定制的簡(jiǎn)歷、深度偽造的視頻面試以及駕駛執(zhí)照和水電費(fèi)賬單等身份證明文件。在某些情況下，特工在受害組織中潛伏長(zhǎng)達(dá)一年，然后利用他們的訪問(wèn)權(quán)限入侵其他系統(tǒng)和 / 或完全套現(xiàn)。

蘋(píng)果耶穌（AppleJeus）

AppleJeus 主要專(zhuān)注于傳播惡意軟件，擅長(zhǎng)進(jìn)行復(fù)雜的供應(yīng)鏈攻擊。2023 年，3CX 供應(yīng)鏈攻擊使攻擊者有可能感染 3CX VoIP 軟件的 12 1200 多萬(wàn)用戶(hù)，但后來(lái)發(fā)現(xiàn) 3CX 本身也受到了影響其上游供應(yīng)商之一 Trading Technologies 13 的供應(yīng)鏈攻擊的攻擊。

在加密貨幣行業(yè)，AppleJeus 最初通過(guò)分發(fā)包裝成合法軟件（例如交易軟件或加密貨幣錢(qián)包）的惡意軟件。然而，隨著時(shí)間的推移，他們的策略發(fā)生了變化。2024 年 10 月，Radiant Capital 被一名冒充可信承包商的威脅行為者通過(guò) Telegram 發(fā)送的惡意軟件攻陷，Mandiant 將其歸咎于 AppleJeus。

危險(xiǎn)密碼（Dangerous Password）

Dangerous Password 負(fù)責(zé)對(duì)加密貨幣行業(yè)進(jìn)行低復(fù)雜度的基于社會(huì)工程學(xué)的攻擊。早在 2019 年，JPCERT/CC 就記錄了 Dangerous Password 會(huì)發(fā)送帶有誘人附件的釣魚(yú)電子郵件供用戶(hù)下載。前幾年，Dangerous Password 負(fù)責(zé)冒充行業(yè)知名人士發(fā)送釣魚(yú)電子郵件，主題為「穩(wěn)定幣和加密資產(chǎn)風(fēng)險(xiǎn)巨大」。

如今，Dangerous Password 仍在發(fā)送釣魚(yú)郵件，但也已擴(kuò)展到其他平臺(tái)。例如，Radiant Capital 報(bào)告稱(chēng)，他們通過(guò) Telegram 收到一條釣魚(yú)消息，該消息來(lái)自冒充安全研究人員的人，該人分發(fā)了一個(gè)名為「Penpie_Hacking_Analysis_Report.zip」的文件。此外，用戶(hù)報(bào)告稱(chēng)，有人冒充記者和投資者聯(lián)系他們，要求使用一個(gè)不起眼的視頻會(huì)議應(yīng)用安排通話。與 Zoom 一樣，這些應(yīng)用程序會(huì)下載一次性安裝程序，但運(yùn)行時(shí)會(huì)將惡意軟件安裝在設(shè)備上。

交易者叛徒（TraderTraitor）

TraderTraitor 是針對(duì)加密貨幣行業(yè)最老練的朝鮮黑客，并對(duì) Axie Infinity 和 Rain.com 等發(fā)起了黑客攻擊。TraderTraitor 幾乎只針對(duì)擁有大量?jī)?chǔ)備的交易所和其他公司，并且不會(huì)對(duì)其目標(biāo)部署零日漏洞，而是使用高度復(fù)雜的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)技術(shù)對(duì)受害者進(jìn)行攻擊。在 Axie Infinity 黑客攻擊案例中，TraderTraitor 通過(guò) LinkedIn 聯(lián)系了一位高級(jí)工程師，并成功說(shuō)服他們接受一系列面試，然后發(fā)送了一份「提議」，從而投遞了惡意軟件。

然后，在 WazirX 黑客攻擊中，TraderTraitor 特工破壞了簽名管道中一個(gè)尚未確定的組件，然后通過(guò)反復(fù)存款和取款耗盡交易所的熱錢(qián)包，導(dǎo)致 WazirX 工程師進(jìn)行從冷錢(qián)包到熱錢(qián)包的重新平衡。當(dāng) WazirX 工程師試圖簽署交易以轉(zhuǎn)移資金時(shí)，他們卻被誘騙簽署了一項(xiàng)交易，將冷錢(qián)包的控制權(quán)移交給 TraderTraitor。這與 2025 年 2 月針對(duì) Bybit 的攻擊非常相似，當(dāng)時(shí) TraderTraitor 首先通過(guò)社會(huì)工程攻擊破壞了 Safe{Wallet} 基礎(chǔ)設(shè)施，然后將惡意 JavaScript 部署到專(zhuān)門(mén)針對(duì) Bybit 冷錢(qián)包的 Safe Wallet 前端。當(dāng) Bybit 去重新平衡他們的錢(qián)包時(shí)，惡意代碼被激活，反而導(dǎo)致 Bybit 工程師簽署一項(xiàng)交易，將冷錢(qián)包的控制權(quán)移交給 TraderTraitor。

保持安全

朝鮮已經(jīng)展示了對(duì)付對(duì)手部署零日漏洞的能力，但目前還沒(méi)有朝鮮對(duì)加密貨幣行業(yè)部署零日漏洞的記錄或已知事件。因此，對(duì)于幾乎所有朝鮮黑客的威脅來(lái)說(shuō)，典型的安全建議都適用。

對(duì)于個(gè)人來(lái)說(shuō)，要運(yùn)用常識(shí)，警惕社交工程手段。例如，如果有人聲稱(chēng)擁有一些高度機(jī)密的信息，并愿意與您分享，請(qǐng)謹(jǐn)慎行事。或者，如果有人對(duì)您施加時(shí)間壓力，要求您下載并運(yùn)行某些軟件，請(qǐng)考慮他們是否試圖讓您陷入無(wú)法進(jìn)行邏輯思考的境地。

對(duì)于組織而言，盡可能應(yīng)用最小特權(quán)原則。盡量減少有權(quán)訪問(wèn)敏感系統(tǒng)的人數(shù)，并確保他們使用密碼管理器和 2FA。保持個(gè)人設(shè)備和工作設(shè)備分開(kāi)，并在工作設(shè)備上安裝移動(dòng)設(shè)備管理 (MDM) 和端點(diǎn)檢測(cè)與響應(yīng) (EDR) 軟件，以確保黑客入侵前的安全性和黑客入侵后的可見(jiàn)性。

不幸的是，對(duì)于大型交易所或其他高價(jià)值目標(biāo)，TraderTraitor 即使不需要零日漏洞也能超出預(yù)期的進(jìn)行破壞。因此，必須采取額外的預(yù)防措施，確保不存在單點(diǎn)故障，以免一次入侵就導(dǎo)致資金全部損失。

然而，即使一切都失敗了，仍然還有希望。聯(lián)邦調(diào)查局有一個(gè)專(zhuān)門(mén)跟蹤和防止朝鮮入侵的部門(mén)，多年來(lái)一直在進(jìn)行受害者通知，最近我很高興能幫助該部門(mén)的特工與潛在的朝鮮目標(biāo)建立聯(lián)系。因此，為了做好最壞的準(zhǔn)備，請(qǐng)確保您有公開(kāi)的聯(lián)系信息，或者您與生態(tài)系統(tǒng)中的足夠多的人有聯(lián)系（例如 SEAL 911），這樣穿越社交圖譜的消息就能以最快速度到達(dá)您手中。

原文鏈接

歡迎加入律動(dòng) BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方賬號(hào)：https://twitter.com/BlockBeatsAsia