与朝鲜当局有联系的黑客组织拉撒路(Lazarus)在CryptoCore组织的幌子下,多年来一直在黑客入侵世界各地的比特币交易所。 这是ClearSky公司安全研究人员得出的结论。 网络犯罪分子使用有针对性的网络钓鱼破坏了交易平台的用户和员工的加密货币钱包。 与受害者交流时,黑客说服他们下载了恶意文件。 ClearSky专家比较了来自F-Secure,CERT JPCERT / CC和NTT Security的这些攻击的报告。 除了行为和源代码相似外,CryptoCore恶意软件还具有以下特征: [simple_tooltip content=”инструмент для идентификации и классификации вредоносных программ”]YARA规则[/simple_tooltip] ESET和卡巴斯基代表拉撒路。
YARA规则与ESET报告中的Lazarus RAT匹配。 资料:ClearSky。
YARA规则之一与卡巴斯基在2016年报告的旧的远程访问木马(RAT)相匹配。
资料:ClearSky。
总体而言,在F-Secure,NTT Security和JPCERT / CC的报告之间,ClearSky专家发现了40个共同的危害指标(IoC),几乎相同的VBS脚本以及类似的RAT和窃取者。
Lazarus VBS脚本已在多个广告系列中使用。 资料:ClearSky。
它总结道:“考虑到所有相似之处,ClearSky很有可能认为CryptoCore活动是拉撒路。”
回想一下CryptoCore组于2018年中期开始活动。 在这段时间里,她在美国,以色列,欧洲和日本黑客攻击了加密货币交易所。 根据ClearSky的估计,到2020年6月,黑客活动造成的损失总计达到2亿美元的加密货币。 在Telegram上订阅ForkLog新闻:ForkLog Feed-整个新闻Feed,ForkLog-最重要的新闻,信息图表和意见。
