随着加密货币行业的持续发展,其所面临的安全威胁也在不断升级。最近,安全研究人员发现一个由朝鲜黑客组织实施的专门针对苹果macOS系统的恶意软件攻击行动,主要瞄准加密货币公司。此次攻击不仅暴露出黑客技术的不断进化,也显示出国家支持的网络犯罪背后的复杂动机。本文将深入剖析此次攻击事件的来龙去脉,揭示攻击手段的独特之处,并提出有效的防范策略,以助力相关企业和个人抵御这一新型威胁。 近年来,随着加密货币市场吸引大量资金流入,成为众多黑客攻击的焦点。朝鲜的一个臭名昭著的黑客组织“Blue Noroff”被怀疑是此次macOS恶意软件活动的主要幕后黑手。
Blue Noroff因其针对加密货币和金融机构的攻击而广为人知,他们通过复杂的钓鱼邮件和后门程序获取目标系统的控制权,以窃取资金和敏感数据。 此次攻击的首要诱饵是一封伪装成加密货币趋势新闻通讯的电子邮件。攻击者利用真实存在的个人名字作为发送者身份,将邮件伪装成由某位知名加密货币意见领袖转发的内容。邮件中附有引人注目的链接,声称提供名为“新比特币价格上涨背后的隐藏风险”的PDF文件,诱使收件人点击。用户一旦点击,该链接不仅会下载并打开一个真实的PDF文件转移注意力,同时在后台下载并安装恶意软件,悄无声息地感染设备。 这种恶意软件的核心是一款用苹果官方编程语言Swift开发的“dropper”程序,即携带病毒的安装包。
令人震惊的是,该程序曾在2024年10月19日通过一个名为“Avantis Regtech Private Limited”的苹果开发者账号成功签名和官方公证,获得了苹果的安全认证。虽然苹果随后撤销了该签名,但这说明攻击者能绕过苹果的安全验证机制,极大增加了恶意软件成功潜伏的可能性。 dropper程序启动后,会绕过苹果的App Transport安全政策,允许设备通过不安全的HTTP连接访问由攻击者控制的服务器,进一步下载更多恶意组件。随后,攻击代码以篡改名为.zshenv的配置文件潜藏于用户主目录的隐藏文件夹中。该文件是一种针对x86-64架构的Mach-O二进制文件,意味着它能在搭载Intel芯片的Mac机以及通过Rosetta仿真运行的苹果苹果芯片设备上执行。 这种利用.zshenv文件注入恶意代码的攻击手法虽然技术上并不新颖,但首次在现实攻击中被确认采用。
其最大优势在于绕过了macOS 13及以后的版本引入的持久性检测系统,这些系统通常会警告用户有可疑进程尝试安装启动代理。黑客通过隐藏进程并篡改配置文件,成功逃避用户及系统的警报,大幅提高了持久生存能力。 分析人士指出,朝鲜黑客不仅野心勃勃地攻陷高价值的加密货币目标,还试图借此为该国备受制裁的核武器计划筹集资金。目前,联合国对朝鲜实施多项金融和技术制裁,军事实力的增强受到国际高度关注。据德国宪法保护局在2024年10月发布的警告,还透露朝鲜的IT人员正通过自由职业平台向全球提供技术服务,部分服务可能为规避制裁及支持军事项目服务。 针对此类复杂且隐蔽的攻击,企业和个人需提升安全意识,加强对电子邮件的甄别能力,避免随意点击未知来源的链接和附件。
同时,建议加密货币企业加强macOS设备的防护措施,实施多因素身份验证,定期更新操作系统和安全补丁,以及利用先进的终端安全解决方案检测异常行为。 此外,针对苹果签名和公证机制的漏洞,苹果公司也在持续改进审核流程和安全策略,防止恶意开发者利用正规渠道发布“伪装”的恶意软件。用户应确保从官方渠道下载软件,并尽可能避免安装未经验证的开发者程序。 加密货币行业的快速发展既带来了创新与机遇,也成为高级持续性威胁的重灾区。朝鲜黑客此次专门针对macOS用户发动攻击,展现了黑客群体正在不断扩展攻击平台和技术手段。企业需要认识到安全防护的复杂性和重要性,采取全方位防御措施保障资产安全。
总而言之,面对朝鲜黑客利用macOS恶意软件瞄准加密货币企业的威胁,行业内应高度重视邮件安全和平台安全策略的建设。持续关注安全研究机构的最新报告和动态,保持警惕和快速响应能力,方能降低攻击风险,保障加密货币生态的健康发展。
