攻擊概述

朝鮮國家支持的黑客組織實施了被安全專家稱為迄今為止規(guī)模最大的加密貨幣盜竊行動，通過精心設計的攻擊鏈成功竊取約6.25億美元。該行動入侵了一位知名macOS開發(fā)者的工作環(huán)境，并利用亞馬遜云服務（AWS）基礎設施作為跳板。

這項針對多家加密貨幣交易所同時發(fā)起的高級持續(xù)性威脅（APT）行動，展現(xiàn)出前所未有的技術(shù)協(xié)調(diào)水平和操作安全性。

入侵路徑分析

攻擊初始階段通過針對某加密貨幣交易平臺高級開發(fā)者的魚叉式釣魚（spear-phishing）實現(xiàn)。該開發(fā)者擁有對平臺代碼庫的特權(quán)訪問權(quán)限。

攻擊者部署了一種專門針對macOS環(huán)境的未公開記錄惡意軟件變種，該軟件通過組合使用啟動代理（launch agents）和動態(tài)庫劫持（dylib hijacking）技術(shù)實現(xiàn)持久化駐留。

獲得立足點后，攻擊者完全掌控了開發(fā)者的工作環(huán)境，包括獲取關(guān)鍵代碼倉庫和云服務的訪問憑證。隨后，攻擊者轉(zhuǎn)向托管交易平臺部分基礎設施的多個AWS實例。

技術(shù)細節(jié)

通過利用開發(fā)者的合法AWS憑證，攻擊者在系統(tǒng)中部署了額外后門，同時規(guī)避了傳統(tǒng)檢測機制。該攻擊行動持續(xù)約18天未被發(fā)現(xiàn)，直至異常交易模式觸發(fā)安全警報。

Elastic安全研究人員通過監(jiān)測多家加密貨幣交易所的異常網(wǎng)絡流量模式識別出此次攻擊。分析顯示，攻擊者使用包含多個代理節(jié)點和加密通信通道的復雜命令控制（C2）基礎設施來隱藏真實位置。

"這標志著朝鮮網(wǎng)絡攻擊能力的重大升級，"Elastic研究團隊在其分析報告中指出。

攻擊執(zhí)行流程

惡意軟件采用多階段感染機制，初始階段偽裝成看似無害的應用程序更新。執(zhí)行后會部署以下shell腳本建立持久化：

#!/bin/bash 
mkdir -p ~/Library/LaunchAgents/ 
cat > ~/Library/LaunchAgents/com.trading.updater.plist 
Label com.trading.updater 
ProgramArguments /usr/bin/python3 $HOME/.hidden/loader.py 
RunAtLoad 
KeepAlive 
EOF 
launchctl load ~/Library/LaunchAgents/com.trading.updater.plist

該腳本隨后執(zhí)行基于Python的加載器，從被入侵的AWS S3存儲桶獲取下一階段有效載荷。惡意軟件采用包括環(huán)境檢查在內(nèi)的多種反分析技術(shù)來檢測虛擬化和調(diào)試嘗試。

AWS跳板技術(shù)尤其值得關(guān)注，攻擊者利用合法憑證創(chuàng)建臨時實例作為轉(zhuǎn)移加密貨幣錢包數(shù)據(jù)的中繼點。通過將這些合法AWS資源作為流量路由節(jié)點，攻擊者成功將其活動隱藏在可信云基礎設施背后。

研究價值

安全研究人員在受控環(huán)境中完整復現(xiàn)了攻擊鏈，為未來檢測和防御類似攻擊提供了關(guān)鍵見解。該事件凸顯了朝鮮相關(guān)組織對全球金融機構(gòu)和加密貨幣平臺構(gòu)成的持續(xù)威脅。