朝鲜黑客行动不仅仅是拉撒路集团：范式分析揭示更多威胁

2月，朝鲜黑客因一起被认为是加密货币历史上最大单一攻击事件登上头条。

Lazarus团体至少窃取了Bybit交易所14亿美元，随后将这些资金转入加密货币混合器。

“有人在[Crypto]历史上完成了最大的攻击，我们有一个前排座位，” Paradigm的研究合作伙伴Samczsun在一篇博客文章中回忆道。

研究人员表示，他们实时目睹了这起盗窃案，并与Bybit合作确认了未经授权的访问。

Samczsun与Seal 911合作，Seal 911是一个与安全联盟相关的应急响应单位，该联盟是一个致力于确保去中心化系统的非营利组织。

但这些攻击并非全都与拉撒路集团有关。朝鲜的网络攻击行动比人们此前想象的更加多样化。

关于如何“分类和命名”小组操作存在误解。

Samczsun指出，虽然“拉撒路集团”一词是“可以接受的”，但在讨论朝鲜（民主主义人民共和国）如何根据进攻需求开展网络行动时，术语使用应更加严格。

Lazarus组已成为描述DPRK网络活动时媒体的首选术语。然而，网络安全研究人员“创建了更精确的名称”，以区分哪些组织从事特定活动。

黑客局

DPRK黑客生态系统在侦察总局（RGB）下运作，该机构包含多个不同的小组：Applejeus、APT38、Drangkpassword和TraderTraito。

这些小组具有特定的目标方法和技术能力。

TraderTraitor被确定为针对加密行业的最复杂的DPRK演员，专注于拥有大量储备的交易平台，并采用了高级技术，成功攻破Axie Infinity并通过虚假的工作机会以及操纵Wazirx交易所实施攻击。

Applejeus专注于复杂的供应链攻击，包括2023年的3CX黑客事件，可能影响了1200万用户。

同时，Drangkpassword通过网络钓鱼电子邮件和Telegram等平台上的恶意消息进行低端社会工程攻击。

另一个亚组APT38于2016年从Lazarus脱离，重点转向金融犯罪。它最初针对传统银行，后来将注意力转移到加密货币平台上。

2018年，OFAC首次提到了“朝鲜IT工人”，并在2023年确定由研究人员称为“传染性访谈”和“Wagemole”的威胁行为者，这些人通过招聘计划渗透目标公司。

仍存希望

Samczsun表示，尽管DPRK展示了部署零日攻击的能力，但它没有“记录或已知事件”直接针对加密货币行业进行此类攻击。

研究人员敦促加密货币公司实施基本的安全实践，例如最小权限访问、双因素身份验证和设备隔离。如果预防措施失败，与SEAL 911和FBI DPRK部门等安全组织建立联系也将有所帮助。

Samczsun写道：“DPRK黑客是我们行业不断增长的威胁，我们无法击败一个不了解或不认识的敌人。”

编辑塞巴斯蒂安·辛克莱（Sebastian Sinclair）