揭秘Lazarus Group：朝鲜国家级APT组织的网络攻击与加密货币盗窃

Lazarus Group 是一个疑似来自朝鲜的国家级APT（高级持续性威胁）组织，以下是关于该组织的详细介绍：
组织背景
• 成立时间与隶属关系：Lazarus Group 成立于2007年，隶属于朝鲜人民军总参谋部侦察总局第三局旗下的110号研究中心，专门负责网络战。
• 人员构成：该组织分为两个主要部门，一个是BlueNorOff（也称为APT38），约有1700名成员，主要针对金融机构和加密货币交易所，通过伪造SWIFT订单进行非法转账，专注于利用网络漏洞谋取经济利益；另一个是AndAriel，约有1600名成员，主要以韩国为攻击目标。
攻击活动
• 早期攻击：Lazarus Group最早的攻击活动可以追溯到2007年。2009年，该组织利用DDoS技术攻击韩国政府的“特洛伊行动”。
• 重大事件：2014年，该组织因攻击索尼影业而声名狼藉，原因是索尼上映了一部关于暗杀北方泡菜国领导人的喜剧，此次攻击导致索尼影业大量敏感数据泄露。
• 金融领域攻击：2016年，Lazarus Group发动了孟加拉国银行攻击案，试图从纽约联邦储备银行账户非法转移近10亿美元，最终成功转出8100万美元。
• 加密货币领域攻击：自2017年以来，该组织开始将攻击目标转向加密货币领域，并获利至少10亿美元。2024年，联合国报告显示，Lazarus Group在2017年至2024年间发动了97起针对加密货币公司的网络攻击，总价值约36亿美元。
攻击手段
• 社会工程攻击：这是Lazarus Group最擅长的攻击手段之一。他们会利用目标对商业通信、同事内部聊天或与外部交互的信任，向其发送恶意文件，并监控其日常操作伺机盗窃。例如，2020年，该组织在领英网站伪装招聘加密货币工作人员并发送恶意文档，以获取凭证从而盗取目标加密货币。
• 网络钓鱼攻击：通过伪装成合法的邮件或链接，诱骗受害者点击，从而窃取其敏感信息。
• 恶意软件与工具：该组织拥有大量定制化的网络武器，包括DDoS botnets、keyloggers、RATs、wiper malware等，使用的恶意代码包括Destover、Duuzer和Hangman等。
洗钱方式
在盗取加密资产后，Lazarus Group通常会通过跨链操作，将资金转入Tornado Cash等混币器进行混淆，之后将资金提取到目标地址，并通过OTC服务将加密资产兑换为法币。
影响
Lazarus Group的攻击活动对全球金融机构和加密货币市场造成了巨大威胁，不仅导致大量资金被盗，还对相关行业的安全性和信任度产生了负面影响。