随着加密货币行业的快速发展,网络安全威胁不断演变,尤其是来自国家级黑客的攻击。最近,北朝鲜著名的黑客组织Lazarus集团采取了新的策略,使用名为ClickFix的攻击手法,专门针对加密货币公司的求职者。这一转变标志着对之前‘传染面试’活动的延续和升级,对整个加密行业的安全构成了新的挑战。 根据网络安全公司Sekoia的报告,Lazarus集团通过创建虚假的求职网站,吸引那些寻求在中心化金融(CeFi)行业中找工作的人员。在这些网站上,黑客们利用伪造的错误提示,诱使目标执行PowerShell命令,从而下载并执行恶意软件。 ClickFix攻击手段是一个相对新颖的策略,其工作原理是生成假错误信息,声称用户在查看内容时遇到问题。
为了“解决”这些问题,用户被引导运行带有恶意命令的脚本,这样一来,恶意软件便潜入了他们的系统。Lazarus集团采取这一手法,可能是为了评估各种攻击方式的有效性,同时在同一时间进行不同的攻击。 在ClickFix攻击中,Lazarus集团开始从以前主要针对开发者和程序员转向更广泛的非技术岗位,例如企业发展和市场经理。在这种攻击方式中,受害者通常会在LinkedIn等社交平台上接到远程面试的邀请,并被引导至一个伪造的、看似合法的网站。这些网站使用ReactJS构建,包含联系表单和开放式问题,并要求受害者提交视频自我介绍。 然而,当目标试图录制视频时,假错误信息会出现,声称摄像头驱动存在问题,并提供解决方案。
这些解决方案根据浏览器的用户代理(User-Agent)传递不同的操作系统指令,支持Windows和macOS。受害者被要求在命令提示符(CMD)或终端(Terminal)中运行特定的命令,这导致他们感染一种名为‘GolangGhost’的后门程序,并通过修改注册表和LaunchAgent plist文件实现持久化。 一旦成功感染,GolangGhost会连接到其指挥和控制服务器(C2),并登记新感染设备的独特机器ID,等待进一步指令。该恶意软件拥有执行文件操作、执行Shell命令、盗取Chrome浏览器的cookie、浏览历史和存储密码的能力,同时还可以收集系统元数据。 针对这种新型攻击方式,组织和个体必须保持警惕,确保在下载或执行任何东西之前,始终验证面试邀请的真实性。此外,网络安全专家建议绝不要在Windows命令提示符或macOS终端中执行任何从互联网复制的代码,尤其是如果您不完全理解其作用。
Sekoia还分享了一些Yara规则,帮助组织在其环境中检测和阻止ClickFake活动,同时提供最新Lazarus活动的所有安全事件指标。这一系列的新策略不仅表明Lazarus集团的攻击手法正在多样化,同时也提醒所有与加密货币行业有关的机构需要增强自身的网络防御能力。 总的来说,北朝鲜黑客使用ClickFix攻击手段的最新动态,为加密货币行业的招聘和人事管理增添了新的复杂性。随着网络攻击的不断演变,企业不仅要关注市场机会,更要把网络安全放在重要的战略位置。通过提升员工的安全意识和技术更新,组织可以更好地防范来自敌对黑客的威胁,保护公司的资产和声誉。 未来,组织还需要不断监测新的网络攻击趋势并进行相应的安全培训,以确保在这个快速变化的技术环境中保持领先地位。
只有这样,加密货币行业才能在保证安全的前提下,实现可持续发展与创新。
