攻擊概述

朝鮮國家支持的黑客組織實施了被安全專家稱為迄今為止規(guī)模最大的加密貨幣盜竊行動，通過精心設計的攻擊鏈成功竊取約6.25億美元。該行動入侵了一位知名macOS開發(fā)者的工作環(huán)境，并利用亞馬遜云服務（AWS）基礎設施作為跳板。

這項針對多家加密貨幣交易所同時發(fā)起的高級持續(xù)性威脅（APT）行動，展現出前所未有的技術協(xié)調水平和操作安全性。

入侵路徑分析

攻擊初始階段通過針對某加密貨幣交易平臺高級開發(fā)者的魚叉式釣魚（spear-phishing）實現。該開發(fā)者擁有對平臺代碼庫的特權訪問權限。

攻擊者部署了一種專門針對macOS環(huán)境的未公開記錄惡意軟件變種，該軟件通過組合使用啟動代理（launch agents）和動態(tài)庫劫持（dylib hijacking）技術實現持久化駐留。

獲得立足點后，攻擊者完全掌控了開發(fā)者的工作環(huán)境，包括獲取關鍵代碼倉庫和云服務的訪問憑證。隨后，攻擊者轉向托管交易平臺部分基礎設施的多個AWS實例。

技術細節(jié)

通過利用開發(fā)者的合法AWS憑證，攻擊者在系統(tǒng)中部署了額外后門，同時規(guī)避了傳統(tǒng)檢測機制。該攻擊行動持續(xù)約18天未被發(fā)現，直至異常交易模式觸發(fā)安全警報。

Elastic安全研究人員通過監(jiān)測多家加密貨幣交易所的異常網絡流量模式識別出此次攻擊。分析顯示，攻擊者使用包含多個代理節(jié)點和加密通信通道的復雜命令控制（C2）基礎設施來隱藏真實位置。

"這標志著朝鮮網絡攻擊能力的重大升級，"Elastic研究團隊在其分析報告中指出。

攻擊執(zhí)行流程

惡意軟件采用多階段感染機制，初始階段偽裝成看似無害的應用程序更新。執(zhí)行后會部署以下shell腳本建立持久化：

#!/bin/bash 
mkdir -p ~/Library/LaunchAgents/ 
cat > ~/Library/LaunchAgents/com.trading.updater.plist 
Label com.trading.updater 
ProgramArguments /usr/bin/python3 $HOME/.hidden/loader.py 
RunAtLoad 
KeepAlive 
EOF 
launchctl load ~/Library/LaunchAgents/com.trading.updater.plist

該腳本隨后執(zhí)行基于Python的加載器，從被入侵的AWS S3存儲桶獲取下一階段有效載荷。惡意軟件采用包括環(huán)境檢查在內的多種反分析技術來檢測虛擬化和調試嘗試。

AWS跳板技術尤其值得關注，攻擊者利用合法憑證創(chuàng)建臨時實例作為轉移加密貨幣錢包數據的中繼點。通過將這些合法AWS資源作為流量路由節(jié)點，攻擊者成功將其活動隱藏在可信云基礎設施背后。

研究價值

安全研究人員在受控環(huán)境中完整復現了攻擊鏈，為未來檢測和防御類似攻擊提供了關鍵見解。該事件凸顯了朝鮮相關組織對全球金融機構和加密貨幣平臺構成的持續(xù)威脅。