朝鲜的 Lazarus Group 创建了一款区块链游戏,利用谷歌 Chrome 浏览器中的漏洞安装间谍软件并窃取加密钱包dent以及其他用户数据。
在 10 月 23 日的一份报告,网络安全公司卡巴斯基实验室分析师 Vasily Berdnikovand 和 Boris Larin 表示,他们于 5 月份发现了 Lazarus Group 漏洞,并将其报告给谷歌,谷歌现已解决了该问题。
据 Berdnikov 和 Larin 称,Lazarus Group 的黑客利用该游戏诱骗用户访问恶意网站,并用其恶意软件 Manuscript 感染计算机,该组织至少从 2013 年起就一直在使用该软件。
该代码允许黑客破坏 Chrome 的内存,最终使他们能够访问用户的 cookie、身份验证令牌、保存的密码和浏览历史记录——窃取用户资金所需的一切。
Javascript 安全机制 V8 沙箱的另一个问题允许 Lazarus 访问 PC 来调查是否值得继续进行网络攻击。
Berdnikov 和 Larin 表示:“我们能够trac攻击的第一阶段,即在 Google Chrome 进程中执行远程代码的漏洞。”
“在确认该漏洞是基于针对最新版本 Google Chrome 的零日漏洞后,我们于当天向 Google 报告了我们的发现。”
谷歌意识到该漏洞两天后,发布了更新补丁来解决该问题。
被盗的源代码用于创建游戏
游戏本身,DeTankZone 或 DeTankWar,是一款完全可玩的多人在线竞技场游戏,使用不可替代代币 ( NFT ) 坦克。玩家可以在在线比赛中互相对战。
Berdnikov 和 Larin 表示,Lazarus 窃取了另一款正版游戏的源代码,并在社交媒体上大力宣传盗版版本。
该假游戏有一个网站和使用人工智能生成的宣传图片。
“从表面上看,这个网站类似于一个为去中心化金融(DeFi)基于 NFT(不可替代代币)的多人在线竞技场(MOBA)坦克游戏专业设计的产品页面,邀请用户下载试用版,”Berdnikov 和拉林说。
“但这只是一种伪装。在幕后,该网站有一个隐藏脚本,在用户的 Google Chrome 浏览器中运行,启动零日漏洞并让攻击者完全控制受害者的 PC。”
帖子中标记了该游戏,指出恶意游戏 DeTankWar 正在传播新的自定义勒索软件,微软将其称为 FakePenny。
“微软已经dent了一种新的朝鲜威胁行为者 Moonstone Sleet (Storm-1789),它将其他朝鲜威胁行为者使用的许多经过验证的技术与针对金融和网络间谍目标的独特攻击方法相结合,”微软安全说。
“据观察,Moonstone Sleet 会建立虚假公司和工作机会来与潜在目标接触,使用合法工具的木马版本,创建名为 DeTankWar 的恶意游戏,并提供 Microsoft 命名为 FakePenny 的新自定义勒索软件。”
Lazarus Group 的损失估计超过 30 亿美元
自 2009 年出现以来,Lazarus 无疑已成为最臭名昭著的加密货币黑客组织。美国网络安全公司 Recorded Future估计,朝鲜黑客在 2023 年之前的六年里窃取了超过 30 亿美元的加密货币。
联合国的一份报告还发现,在组织开始针对外国航空航天和国防公司的网络后,朝鲜黑客在 2022 年窃取了大量加密资产,估计价值在 6.3 亿美元至超过 10 亿美元之间。
区块链侦探 ZachXBT估计, Lazarus 在 2020 年至 2023 年间通过 25 次黑客攻击,洗掉了超过 2 亿美元的加密货币。在 8 月 15 日帖子,他还声称发现了朝鲜开发者的复杂网络的证据,该网络每月赚取 50 万美元,为“建立的”加密项目。
与此同时,美国财政部还指责 Lazarus 是 2022 年 Ronin Bridge 攻击背后的罪魁祸首,该攻击使黑客获得了超过 6 亿美元的加密货币。
加密大都会学院:想在2025年养活您的钱吗?在即将到来的WebClass中DeFi进行操作保存您的位置
