在现代网络安全威胁环境中,针对加密货币和区块链领域的攻击日益猖獗,尤其是那些由国家背景的高级持续威胁组织发起的入侵。蓝诺夫(BlueNoroff)便是朝鲜政府支持的Lazarus集团旗下的一个分支,以其目标聚焦金融机构和加密行业的高复杂攻击而闻名。2025年6月的一起针对加密货币基金会员工的攻击事件,再次将这一组织推向公众视野,揭示出前所未有的深度伪造联合钓鱼攻击和macOS后门恶意软件结合的复杂手段。该事件不仅凸显了社会工程学与新兴深度伪造技术融合的危险,也提醒全球加密行业需要高度警惕日益精细的网络欺诈形式。攻击从受害者收到Telegram上的一条信息开始,攻击者声称需要与员工进行联系,并通过Calendly链接预约会议时间。表面上,Calendly链接指向一个Google Meet会议,但实际上会重定向至一个由蓝诺夫控制的伪造Zoom域名,使受害者误以为是安全可信的官方会议平台。
该伪造Zoom会议中包含深度伪造的公司高管和其他虚构的外部联系人。深度伪造技术使攻击者能够在视频和语音上高度逼真地模仿目标的高层领导,营造出真实可信的会议环境。期间,会议中通过“音频故障”为由,诱导受害人下载名为“zoom_sdk_support.scpt”的苹果脚本。乍看之下,该脚本会打开Zoom官方SDK网页,极具迷惑性,但实际上它还会从远程服务器下载并执行隐藏的Shell脚本。该脚本执行的过程极其隐蔽,首先关闭bash历史记录,防止后续操作被追踪。它会检测Mac设备上是否安装了Rosetta 2软件,若无则自动安装,这一措施确保攻击载荷能够在苹果基于ARM芯片的设备上顺畅运行。
随后,脚本创建隐藏文件,接着从伪造的Zoom页面下载恶意二进制文件至临时目录,以继续实施后续攻击任务。更为恶劣的是,该脚本还会向用户请求系统密码,极大地增加了攻击后门的权限水平,使攻击者能够在受害设备上实现持续和深度的控制。调查发现,至少安装了八种不同的恶意二进制文件。这些恶意软件涵盖多个编程语言,包括Nim、Go、C++和Objective-C,功能丰富且全面:其中包括启动主后门、远程执行AppleScript和Shell命令的全功能后门Root Troy V4,具备进程注入功能的二进制加载器InjectWithDyld,以及监控键盘输入、剪贴板内容和屏幕信息的键盘记录器XScreen。还有名为CryptoBot的加密货币信息窃取工具,专门搜寻主机中的加密货币数据文件。该攻击链显示了蓝诺夫对MacOS生态的深刻了解和针对性开发能力。
背景上,蓝诺夫组又称Alluring Pisces、APT38、Black Alicanto等,是Lazarus集团的重要子集,以专注金融犯罪和加密货币偷窃著称。此前多起大型加密货币资产被盗事件,比如2025年2月Bybit的被黑和2022年Axie Infinity的资金失窃,都与蓝诺夫有关。最新的事件进一步印证了他们在远程工作环境下利用社交工程、深度伪造和钓鱼攻击的高超技巧。技术研究人员指出,这一攻击方式与早前基于ClickFix假冒招聘面试流程的“Contagious Interview”行动如出一辙,都巧妙利用假象中的设备故障来诱骗受害者自己安装恶意软件。且当前,类似攻击正不断演进,还出现了针对Windows的Python版本“PylangGhost”和针对macOS的Go语言版本“GolangGhost”双线作战,显示出攻击团队在多平台开发上的同步推进能力。这类恶意软件能够悄无声息地与C2服务器连接,实现远程文件管理、权限提升和隐私窃取等功能,针对密码管理器和加密钱包等敏感数据发起大量窃取行动。
最新爆出的虚假Zoom域名伪装事件展示了蓝诺夫对社交平台和远程会议工具的深刻利用。受害者被迫跳转至伪造页面,下载所谓的修复音频设备故障的软件,却实际上激活了复杂的后门程序。攻击者强行坚持使用Zoom而排斥其他会议工具,体现了其细致的作战设计和与受害者心理博弈的策略。此外,调查还揭露了该类攻击的传播路径包括链锁式恶意载荷落地、快速权限提升以及数据高速外泄,一旦被感染,攻击者几乎能够第一时间开始窃取敏感信息,令防御难度急剧增大。由于全球加密行业越发依赖远程办公和视频会议等虚拟协作工具,如何在高风险环境下保护员工免受此类深度伪造和恶意软件攻击,成为业界亟需解决的问题。建议企业加强对员工关于社会工程学和远程会议相关钓鱼攻击的安全意识培训,重点掌握识别假冒链接和非正规软件下载风险的能力。
同时,强化终端安全防护,及时更新操作系统和应用程序,利用多层次的威胁检测工具识别并阻断异常行为。物业管理者还需对与外部通信的渠道进行严格监控,限制未知第三方软硬件的下载及安装权限。除了技术措施,建立完善的应急响应机制,确保一旦发生安全事件能快速发现、隔离并恢复受影响系统,也至关重要。蓝诺夫的此次攻击行动显示了国家级攻击团队利用前沿技术与复杂社会工程相结合的能力,同时也暴露出当前企业在云端协作安全上的薄弱环节。未来,随着深度伪造、人工智能技术及跨平台恶意软件的广泛应用,网络安全威胁将愈发复杂和隐蔽,防御策略须不断更新换代以保持领先。加密货币行业的安全人员应从此次事件中汲取教训,强化人员安全教育和技术防御同步推进,全方位筑牢数字资产安全保护墙。
总之,蓝诺夫通过伪造Zoom会议诱导macOS用户下载后门恶意软件的攻击策略表明,真正的网络安全威胁不仅来自技术层面,更深植于社会工程与信任机制的破坏。企业和个人只有时刻警醒,保持对新兴攻击手法的敏感和学习,才能才能在瞬息万变的网络战场上立于不败之地,保护自身数据和数字资产的安全。
