据路透社获得的美国法律文件和研究显示,朝鲜网络特工在美国悄悄成立了两家有限责任公司,并利用这些公司向加密货币领域正在求职的软件工程师植入有害代码。.
网络安全公司Silent Push表示,位于新墨西哥州的Blocknovas LLC和位于纽约的Softglide LLC两家公司均使用虚构名称和租用地址注册,以便黑客伪装成合法雇主,同时向求职者发送恶意软件。第三家公司Angeloper Agency也具有dent的恶意网络特征,但并未出现在任何美国公司注册文件中。.
告诉路透社: “这是一个罕见的例子,朝鲜黑客竟然成功地在美国设立了合法的公司实体,以便创建公司幌子来攻击毫无戒心的求职者。”
美国联邦调查局拒绝直接讨论这两家公司。然而,周四,该局在Blocknovas的网站上发布了一份查封通知,称该域名已被查封,“这是针对利用该域名发布虚假招聘信息欺骗民众和传播恶意软件的朝鲜网络犯罪分子的执法行动的一部分。”
在抓捕行动之前,联邦调查局高级官员告诉该机构,此举旨在“不仅对朝鲜民主主义人民共和国的行动者本人施加风险和后果,而且对任何协助他们实施这些计划的人施加风险和后果”。
一位官员称朝鲜的黑客组织“或许是当今美国面临的最先进、最持久的威胁之一”。
Silent Push表示,攻击者伪装成招聘人员,提供面试机会,要求目标用户打开恶意文件。
Blocknovas 和 Softglide 利用招聘广告向加密货币开发人员植入恶意软件。
一旦启动,这些文件就会试图窃取加密货币钱包密钥、密码和其他dent,以便日后入侵交易所或科技公司。.
该公司未公开的报告证实了“多名受害者”,其中大多数是通过 Blocknovas 接触到的,研究人员称 Blocknovas 是三个前线中“迄今为止最活跃的”。.
州记录显示,Blocknovas 于 2023 年 9 月 27 日在新墨西哥州注册成立。其文件上列出的邮政地址位于南卡罗来纳州沃伦维尔,但谷歌地图显示该地址为一片空地。.
Softglide在纽约的注册公司可以 trac布法罗一家小型税务代理事务所。两份文件中出现的名字都无法 trac。.
美国官员表示,这种模式符合朝鲜更广泛的筹集硬通货的举措。华盛顿、首尔和联合国专家长期以来一直指责平壤窃取加密货币,并向海外派遣数千名信息技术人员,为该国的核导弹计划提供资金。.
在美国境内运营一家由朝鲜控制的公司违反了美国财政部外国资产控制办公室(OFAC)的制裁。这也违反了联合国安理会禁止有利于朝鲜国家或军方的商业活动的决议。.
含有恶意软件的作业文件与拉撒路集团有关
新墨西哥州州务卿在一封电子邮件中表示,Blocknovas公司是通过在线国内有限责任公司系统,使用注册代理人注册成立的,并且似乎符合州政府的规定。“我们办公室不可能知道它与朝鲜有任何关联,”一位代表写道。.
调查人员将这一活动与拉撒路集团的一个小组联系起来,拉撒路集团是一个精英黑客团队,隶属于平壤的主要对外情报机构——侦察总局。
Silent Push 在恶意作业文件中dent出至少三个已知的恶意软件家族。这些工具可以从受感染的机器中提取数据,打开后门进行进一步入侵,并下载额外的攻击代码,这种攻击手法在以往的 Lazarus 活动中屡见不鲜。.
目前,Blocknovas的域名已被联邦政府查封,Softglide的网站已离线,Angeloper Agency的页面也显示错误。但调查人员警告说,新的别名可能很快就会出现。.
“此次行动表明朝鲜网络行为者构成的威胁不断演变,”联邦调查局在声明中表示,并敦促技术专业人员仔细审查主动提供的工作机会,并举报任何可疑的联系。.
