自 2024 年 6 月以來,慢霧安全團隊陸續收到多家團隊的邀請,對多起駭客攻擊事件展開取證調查。經過前期的積累以及對過去 30 天的深入分析調查,我們完成了對駭客攻擊手法和入侵路徑的覆盤。結果表明,這是一場針對加密貨幣交易所的國家級 APT 攻擊。通過取證分析與關聯追蹤,我們確認攻擊者正是 Lazarus Group。
(前情提要:Bybit內部出包?安全專家:北韓駭客Lazarus疑似入侵交易所員工電腦取得錢包多簽權限 )
(背景補充:Bybit 駭客用 Pump.fun「發迷因幣洗錢」遭官方盯上,仍持有超 46 萬枚 ETH 贓款 )
背景
在獲取相關 IOC(入侵指標)和 TTP(戰術、技術與程式)後,我們第一時間將該情報同步給合作伙伴。同時,我們還發現其他合作伙伴也遭遇了相同的攻擊方式和入侵手法。不過,相較之下他們較為幸運 —— 駭客在入侵過程中觸發了部分安全告警,在安全團隊的及時響應下,攻擊被成功阻斷。
鑑於近期針對加密貨幣交易所的 APT 攻擊持續發生,形勢愈發嚴峻,我們在與相關方溝通後,決定對攻擊的 IOC 和 TTP 進行脫敏處理並公開發布,以便社群夥伴能夠及時防禦和自查。同時,受保密協議限制,我們無法披露過多合作伙伴的具體資訊。接下來,我們將重點分享攻擊的 IOC 和 TTP。
攻擊者資訊
攻擊者域名:
- gossipsnare[.]com, 51.38.145.49:443
- showmanroast[.]com, 213.252.232.171:443
- getstockprice[.]info, 131.226.2.120:443
- eclairdomain[.]com, 37.120.247.180:443
- replaydreary[.]com, 88.119.175.208:443
- coreladao[.]com
- cdn.clubinfo[.]io
涉及事件的 IP:
- 193.233.171[.]58
- 193.233.85[.]234
- 208.95.112[.]1
- 204.79.197[.]203
- 23.195.153[.]175
攻擊者的 GitHub 使用者名稱:
攻擊者的社交帳號:
- Telegram: @tanzimahmed88
後門程式名稱:
- StockInvestSimulator-main.zip
- MonteCarloStockInvestSimulator-main.zip
- 類似 …StockInvestSimulator-main.zip 等
真實的專案程式碼:
(https://github.com/cristianleoo/montecarlo-portfolio-management)
攻擊者更改後的虛假專案程式碼:
對比後會發現,data 目錄多了一個 data_fetcher.py 檔案,其中包含一個奇怪的 Loader:
elif content_type.startswith(“application/yaml”):
data = yaml.load(response.text, Loader=yaml.Loader)#response.raise_for_status()
self.prices = data
攻擊者使用的後門技術
攻擊者利用 pyyaml 進行 RCE(遠端程式碼執行),實現惡意程式碼下發,從而控制目標電腦和伺服器。這種方式繞過了絕大多數防毒軟體的查殺。在與合作伙伴同步情報後,我們又獲取了多個類似的惡意樣本。
關鍵技術分析參考:https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
慢霧安全團隊通過對樣本的深入分析,成功復現了攻擊者利用 pyyaml 進行 RCE(遠端程式碼執行)的攻擊手法。
攻擊關鍵分析
目標和動機
目標:攻擊者的主要目標是通過入侵加密貨幣交易所的基礎設施,獲取對錢包的控制權,進而非法轉移錢包中的大量加密資產。
動機:試圖竊取高價值的加密貨幣資產。
技術手段
1. 初始入侵
- 攻擊者利用社會工程學手段,誘騙員工在本地裝置或 Docker 內執行看似正常的程式碼。
- 在本次調查中,我們發現攻擊者使用的惡意軟體包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator-main.zip`。這些檔案偽裝成合法的 Python 專案,但實則是遠端控制木馬,並且攻擊者利用 pyyaml 進行 RCE,作為惡意程式碼的下發和執行手段,繞過了大多數防毒軟體的檢測。
2. 許可權提升
- 攻擊者通過惡意軟體成功獲取員工裝置的本地控制權限,並且誘騙員工將 docker-compose.yaml 中的 privileged 設定為 true。
- 攻擊者利用 privileged 設定為 true 的條件進一步提升了許可權,從而完全控制了目標裝置。
3. 內部偵察和橫向移動
- 攻擊者利用被入侵的員工電腦對內網進行掃描。
- 隨後,攻擊者利用內網的服務和應用漏洞,進一步入侵企業內部伺服器。
- 攻擊者竊取了關鍵伺服器的 SSH 金鑰,並利用伺服器之間的白名單信任關係,實現橫向移動至錢包伺服器。
4. 加密資產轉移
- 攻擊者成功獲得錢包控制權後,將大量加密資產非法轉移至其控制的錢包地址。
5. 隱藏痕跡
- 攻擊者利用合法的企業工具、應用服務和基礎設施作為跳板,掩蓋其非法活動的真實來源,並刪除或破壞日誌資料和樣本資料。
過程
攻擊者通過社會工程學手段誘騙目標,常見方式包括:
1. 偽裝成專案方,尋找關鍵目標開發人員,請求幫助除錯程式碼,並表示願意提前支付報酬以獲取信任。
我們追蹤相關 IP 和 ua 資訊後發現,這筆交易屬於第三方代付,沒有太多價值。
2. 攻擊者偽裝成自動化交易或投資人員,提供交易分析或量化程式碼,誘騙關鍵目標執行惡意程式。一旦惡意程式在裝置上執行,它會建立持久化後門,並向攻擊者提供遠端訪問許可權。
- 攻擊者利用被入侵裝置掃描內網,識別關鍵伺服器,並利用企業應用的漏洞進一步滲透企業網路。所有攻擊行為均通過被入侵裝置的 VPN 流量進行,從而繞過大部分安全裝置的檢測。
- 一旦成功獲取相關應用伺服器許可權,攻擊者便會竊取關鍵伺服器的 SSH 金鑰,利用這些伺服器的許可權進行橫向移動,最終控制錢包伺服器,將加密資產轉移到外部地址。整個過程中,攻擊者巧妙利用企業內部工具和基礎設施,使攻擊行為難以被快速察覺。
- 攻擊者會誘騙員工刪除除錯執行的程式,並且提供除錯報酬,以掩蓋攻擊痕跡。
此外,由於部分受騙員工擔心責任追究等問題,可能會主動刪除相關資訊,導致攻擊發生後不會及時上報相關情況,使得排查和取證變得更加困難。
應對建議
APT(高階持續性威脅)攻擊因其隱蔽性強、目標明確且長期潛伏的特點,防禦難度極高。傳統安全措施往往難以檢測其複雜的入侵行為,因此需要結合多層次網路安全解決方案,如即時監控、異常流量分析、端點防護與集中日誌管理等,才能儘早發現和感知攻擊者的入侵痕跡,從而有效應對威脅。慢霧安全團隊提出 8 大防禦方向和建議,希望可以為社群夥伴提供防禦部署的參考:
1. 網路代理安全配置
目標:在網路代理上配置安全策略,以實現基於零信任模型的安全決策和服務管理。
解決方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。
2. DNS 流量安全防護
目標:在 DNS 層實施安全控制,檢測並阻止解析已知惡意域名的請求,防止 DNS 欺騙或資料洩露。
解決方案:Cisco Umbrella (https://umbrella.cisco.com/) 等。
3. 網路流量 / 主機監控與威脅檢測
目標:分析網路請求的資料流,即時監測異常行為,識別潛在攻擊(如 IDS/IPS),伺服器安裝 HIDS,以便儘早發現攻擊者的漏洞利用等攻擊行為。
解決方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里雲安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。
4. 網路分段與隔離
目標:將網路劃分為較小的、相互隔離的區域,限制威脅傳播範圍,增強安全控制能力。
解決方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html),雲平臺安全組策略等。
5. 系統加固措施
目標:實施安全強化策略(如配置管理、漏洞掃描和更新更新),降低系統脆弱性,提升防禦能力。
解決方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。
6. 端點可見性與威脅檢測
目標:提供對終端裝置活動的即時監控,識別潛在威脅,支援快速響應(如 EDR),設定應用程式白名單機制,發現異常程式並及時告警。
解決方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。
7. 集中日誌管理與分析
目標:將來自不同系統的日誌資料整合到統一平臺,便於安全事件的追蹤、分析和響應。
解決方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。
8. 培養團隊安全意識
目標:提高組織成員安全意識,能夠識別大部分社會工程學攻擊,並在出事後主動上報異常,以便更及時進行排查。
解決方案:區塊鏈黑暗森林自救手冊 (https://darkhandbook.io/), Web3 釣魚手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20% E9%92%93% E9% B1% BC% E6%89%8B% E6% B3%95% E8% A7% A3% E6%9E%90.pdf) 等。
此外,我們建議週期性開展紅藍對抗的演練,以便識別出安全流程管理和安全防禦部署上的薄弱點。
寫在最後
攻擊事件常常發生在週末及傳統節假日期間,給事件響應和資源協調帶來了不小的挑戰。在這一過程中,慢霧安全團隊的 23pds(山哥), Thinking, Reborn 等相關成員始終保持警覺,在假期期間輪班應急響應,持續推進調查分析。最終,我們成功還原了攻擊者的手法和入侵路徑。
回顧本次調查,我們不僅揭示了 Lazarus Group 的攻擊方式,還分析了其利用社會工程學、漏洞利用、許可權提升、內網滲透及資金轉移等一系列戰術。同時,我們基於實際案例總結了針對 APT 攻擊的防禦建議,希望能為行業提供參考,幫助更多機構提升安全防護能力,減少潛在威脅的影響。網路安全對抗是一場持久戰,我們也將持續關注類似攻擊,助力社群共同抵禦威脅。
📍相關報導📍
中國駭客入侵美財政部!財長葉倫電腦被駭,馬斯克諷:她按了比特幣釣魚郵件
