起底數字貨幣的覬覦者Lazarus（APT-C-26），長達十三年“環環相扣”的暗黑風暴狂潮

2、涉獵擴張：數字貨幣交易所成“主戰場”，中、日、韓等國家首當其衝

據研究院介紹，Lazarus組織從2016年開始轉戰數字貨幣領域，從2017年開始相關攻擊逐步異常活躍。攻擊目標主要為全球範圍內數字貨幣交易所，涉及中、日、韓等亞洲國家。如下圖所示，2017年至2019年期間，全球數字貨幣交易約6.4億美元的數字貨幣被Lazarus組織盜取，其中，youbit在經歷兩次駭客攻擊後，直接申請破產。

2014年，一部電影令Lazarus（APT-C-26）組織意外走紅。當時，索尼影業在Youtube上首發電影《刺殺金正恩》預告片，引起了朝鮮人民強烈不滿，僅僅10天之後，Lazarus組織就入侵索尼影業竊取11TB的敏感資料，其中包含洩露大量的還未發行的影片資料，以及高管間的秘密郵件和員工的隱私資訊，促使索尼公司不得不宣佈取消該電影的發行和放映計劃。此次事件，無疑重新整理全球安全界對朝鮮駭客的認知，並讓朝鮮在世介面前賺足了“臉面”。而嚐到了甜頭的朝鮮更是野心勃勃，將攻擊火力延伸至全世界。

正所謂，木秀於林，樹大招風。經歷“電影門”事件接連被各大網路安全機構“扒皮”之後，Lazarus組織開始全面進攻金融行業。彼時正是幣圈風口，Lazarus自然就將目光轉向比特幣。至此，席捲全球的WannaCry勒索案爆發。全球近150個國家被波及，大量政府機構和公共設施被癱瘓，至少30萬使用者電腦中招，醫療、教育、金融等多個行業全部受到影響，經濟損失高達80億美元……這一事件，再度為Lazarus組織平添了濃墨重彩的一筆。斬獲屢屢功勳之下，Lazarus踏足數字貨幣之路也正式啟動……

隨著數字世界的發展，斗轉星移間數字貨幣成為金融圈的“弄潮兒”。其中，由於數字貨幣的去中心化和匿名性特點，眾駭客組織皆想在此領域分得一杯羹。至此，Lazarus組織的斂財計劃正式全域開啟。在本次360政企集團高階威脅研究院，就獨家首次披露了Lazarus組織針對我國數字貨幣三起重磅攻擊案例：

2018年，針對上海某交易遭遇定向攻擊。這是360高階威脅研究院截獲的首例針對國內相關數字貨幣機構的APT攻擊活動。攻擊者透過社會工程學方式進行攻擊，前期偽裝身份溝通騙取加密貨幣機構核心人員的信任，隨後偽造數字貨幣問卷調查文件進行攻擊。最終透過溯源關聯分析，確認此次攻擊和Lazarus組織相關，並在進一步研討中，研究院將其定性為一起經過精心籌劃針對國內數字加密貨幣機構的APT攻擊行動。

2019年，針對數字貨幣交易所大規模集中攻擊。去年，在數字加密貨幣的“Celas Trade Pro”遭遇網路攻擊後，360高階威脅應對團隊持續跟蹤，發現該組織的攻擊仍處於活躍狀態，並啟動新的“Worldbit-bot”等一系列攻擊活動，而該攻擊行動正與區塊鏈安全團隊降維披露的交易所被黑事件存在關聯。經360安全大腦進一步追蹤溯源，最終確認，這是Lazarus組織針對OKEX等多家知名數字貨幣交易所發起的攻擊行動。

2020年，暴風行動-利用MATA框架攻擊事件。今年，卡巴斯基披露了一個多平臺惡意軟體框架——MATA。360安全大腦對其進行進一步追蹤溯源，發現了一類利用MATA框架針對加密貨幣行業相關人員的攻擊活動。不管是攻擊目標所屬的數字金融業，還是攻擊技術手法採取的後門程式攻擊，都間接顯示MATA框架可能和Lazarus 組織存在關聯。

由此看見，暴露於大眾視野下的Lazarus組織已然成為駭客界的“致富小能手”，其行徑也愈發猖獗。而這就不得不歸咎於Lazarus組織手段的“高明”之處。探門道深究Lazarus組織的“謀財”手段隨著360安全大腦對Lazarus組織的進一步分析窺探，我們發現，Lazarus組織在“謀財”方式上，也頗具手段。面對攻擊物件差異性，其攻擊招式更是“因地制宜”。大眾化攻擊之以魚叉郵件為主的定向攻擊在初始攻擊環節，該組織整體以魚叉郵件為主。然而，在近期相關攻擊活動中，360安全大腦發現其利用如微信之類的即時通訊工具的投放也尤為頻繁。除此之外，還有透過網盤傳播，或者偽裝官網的方式進行投放。另外，據相關情報線索反饋，該組織也會採用網站掛馬、行業論壇散佈後門等方式，不過此方式多用於對他國的攻擊，在針對我國的攻擊活動中暫未明顯體現。

Lazarus模仿開源交易軟體“Qt Bitcoin Trader”開發了一款名為“Celas Trade Pro”的數字加密貨幣交易軟體，同時又定製了相應的網站和簽名。攻擊者透過郵件定向推廣帶有後門的Celas Trader誘使目標幣所工作人員下載使用。

Worldbit-bot交易軟體（2019）

2019年7月到11月，lazarus再次使用相同的套路針對數字貨幣交易所進行攻擊，不過這次更改了模仿物件，模仿的開源軟體變為“Blackbird Bitcoin Arbitrage”。攻擊的目標仍舊為數字貨幣交易所，依舊採用社交軟體傳播。

3）其他定製化軟體
監控發現除了偽裝數字貨幣交易軟體以外，攻擊者也會選擇性的偽裝成如IT運維類、人事辦公類的軟體，進一步我們發現這些受影響使用者也都是相關交易所的工作人員。被偽裝的開源軟體名稱軟體功能簡述RemoteDesktopOverNetwork一款開源的遠端桌面軟體，主要用於使用者的遠端桌面協助。Employee-Management-System一款開源的員工管理系統軟體，用於管理員工詳細資訊和工資資訊。溯本源360安全大腦研判鎖定Lazarus組織在關聯溯源中，我們發現：從2017年開始針對我國數字貨幣的相關攻擊活動中，最終執行的後門木馬有Winupdater、Relay、HTTPBackdoor、Macupdater等12個家族及其變種，其中最為典型就是HTTPBackdoor和MATA。關於MATA元件，這裡我們重點提一下。據顯示，惡意DLL啟動後所執行的rat工具負責部署MATA框架，該工具會在目標機器上執行powershell命令，從遠端拉取另外一段powershell指令碼執行。powershell的功能比較簡單，主要是從遠端地址下載映像，執行該映像的匯出函式。
根據對核心樣本的研究，360安全大腦最終將上述三起針對我國數字貨幣攻擊行動鎖定為Lazarus組織。其同源性關聯分析分析圖如下：

具體資訊如下：

首先，根據2018年首次針對國內相關行業攻擊中使用的後門樣本，360安全大腦關聯到了Lazarus的其他樣本FoggyBrass，它們的功能、協議結構、UA和RC4 KEY完全相同；

同時，這個RC4 key與2018年Applejues行動中的celas交易軟體的相關簽名中的二進位制資料，也存在重疊；

此外，後門樣本中的UA與Lazarus的bankshot家族中的UA也十分相似。而celas、worlbit-bot、alticgo三個偽裝的交易軟體都有相關的官網作為下載站，並且域名都是剛註冊不久，從這點來看，手法完全相同；

最後，alticgo與部署MA他的行動中也用了相同的方式載入下載器，rundll32啟動下載器中的UpdateCheck。部署mata的rat與18年使用的後門也有相同功能的外掛。

 近幾年，以Lazarus為代表的境外APT組織持續對金融領域攻擊滲透，從聚焦於數字貨幣監管機構、交易所等人員進行精準定向攻擊，到根據不同崗位不同資源目標人群，採取差異化攻擊手段，進而達到竊取交易所相關數字資產，甚至更為核心機密資料的目的。可見，其是目標明確，有備而來。早在2017年全國金融工作會議上，習近平總書記就強調，金融是國家重要的核心競爭力，金融安全是國家安全的重要組成部分。伴隨全球資訊化、數字化的發展，針對金融領域以及數字貨幣行業覬覦與攻擊，也成為國家級網路力量博弈的一重要領域。尤其當前，正值我國大力推進數字貨幣關鍵時期，相關政策方向、技術突破等都將成為APT組織幕後主導者重點關注所在。
鑑於此，如何應對這類高階威脅；如何加強排查和防範金融行業風險；尤其面對數字貨幣這類新興領域的網路滲透攻擊，如何做好安全防護；這都將成為國家發展，國家安全，以及網路安全企業及其工作人員所要面對及解決的艱鉅挑戰。各領域網路安全護航之路，都任重而道遠，吾輩們仍當慎重應對。