Mac 用戶拉響資安警報!北韓駭客組織 Lazarus Group 釋出針對蘋果系統的全新惡意軟體「Mach-O Man」。駭客會假扮合作夥伴發出假的視訊開會連結,並誘騙高管在終端機貼上一段「修復連線」的指令,藉此瞬間控制系統並洗劫資產。據 CertiK 警告,Lazarus 近兩週已瘋狂盜走超過 5 億美元,整個加密產業都應將其視為國家級的重大威脅。
(前情提要:北韓駭客遭反殺!ZachXBT 扒出內部支付伺服器資料:假工程師月賺百萬鎂、密碼竟是 123456)
(背景補充:如何一秒分辨北韓駭客?面試官要求「大罵金正恩」,假日本工程師嚇到秒破功)
加密貨幣圈最惡名昭彰的北韓國家級駭客組織 Lazarus Group,正帶著針對蘋果用戶量身打造的全新武器,向 Web3 企業高管發起猛烈攻擊。
根據區塊鏈資安機構 CertiK 的最新警告,Lazarus Group 正在運行一場名為「Mach-O Man」的全新攻擊活動。該活動巧妙地將日常的商務溝通,轉變為竊取機密憑證與造成龐大資金損失的直接管道。
專攻蘋果 macOS:兩週狂盜 5 億美元
自 2017 年以來,Lazarus Group 累積竊取的資金估計已高達 67 億美元。而他們近期的攻擊頻率更是令人咋舌。
CertiK 高級區塊鏈安全研究員 Natalie Newson 指出,光是在過去兩週內,這批北韓駭客就透過針對 DeFi 協議 Drift 與 KelpDAO 的攻擊,成功捲走了超過 5 億美元的資產。
「讓 Lazarus 現在變得特別危險的原因在於他們的『活躍程度』。KelpDAO、Drift,以及現在這個全新的 macOS 惡意軟體套件,全都發生在同一個月內。這不是隨機的駭客行為,而是一場規模與速度皆達到機構級別的國家金融行動。」
她進一步解釋,「Mach-O Man」是由 Lazarus 旗下惡名昭彰的 Chollima 部門所創建的模組化 macOS 惡意軟體套件。它使用了原生的 Mach-O 二進位檔案,專門為加密貨幣與金融科技領域廣泛使用的蘋果(Apple)系統環境量身打造。
拆解攻擊手法:「ClickFix」社交工程誘騙
這套駭客工具之所以防不勝防,在於它採用了被稱為 「ClickFix」 的社交工程(Social Engineering)傳遞手法。
威脅情報公司 BCA Ltd 創辦人 Mauro Eldritch 與 CertiK 專家詳細拆解了這個攻擊流程:
- 發送緊急邀請:駭客會透過 Telegram 等通訊軟體,向企業高管發送「緊急」的商務會議邀請(可能是 Zoom、Microsoft Teams 或 Google Meet)。
- 假網站與假錯誤:受害者點擊連結後,會進入一個逼真的假網站,網站會跳出提示,聲稱需要「修復連線問題(fix a connection issue)」。
- 誘騙複製指令:網站會指示受害者複製一段看似簡單的指令,並貼上到他們 Mac 電腦的「終端機(Terminal)」中執行。
- 全面淪陷:一旦受害者自行輸入並執行了指令,駭客就能立即獲取對企業系統、SaaS 平台與財務資源的存取權限。
此外,資安研究員 Vladimir S. 也指出該攻擊有其他變體。例如,駭客會劫持 DeFi 專案的網域,並將網站替換成偽造的 Cloudflare 驗證頁面,同樣是要求受害者輸入終端機指令以「授予存取權限」。
傳統資安防線難以察覺
Newson 警告道:「這個頁面看起來很真實,指示看起來很正常,而且是由受害者『自己』發起動作的 —— 這就是為什麼傳統的安全防護控制通常會漏掉它。」
更可怕的是,Mach-O Man 具備極強的隱蔽性。大多數受害者直到資金被洗劫一空,才會意識到自己的安全防線已經被突破。而到了那時,該惡意軟體通常「已經將自己刪除」以掩蓋行蹤,讓受害者甚至無法確定自己究竟中了哪一種變體病毒。動區強烈呼籲所有加密從業者,切勿在終端機中執行任何來路不明的指令碼。
📍相關報導📍
Circle 單方面凍結 16 家企業錢包,北韓駭客贓款卻袖手旁觀
