Lazarus Group利用社交工程策略进行网络攻击

关键要点

攻击者： Lazarus Group利用社交工程伪装成招聘人员进行网络攻击。目标： 主要针对全球开发者，感染超过1500个系统。手法： 利用仿冒应用程序和恶意代码，诱骗开发者下载并运行。影响： 提取开发凭证、身份验证令牌以及存储在浏览器中的密码等敏感数据。

来源：DC Studio / Shutterstock

Lazarus Group是朝鲜主要的国家支持黑客组织，自2024年11月以来展开了一场持续几个月的攻击活动，感染了全球超过1500个系统。在这场运动中，攻击者提取了开发凭证、身份验证令牌以及存储在浏览器中的密码等敏感信息。

这场名为“幽灵电路行动”的攻击，主要通过社交工程策略实施，攻击者伪装成招聘人员，诱使开发者下载并执行恶意代码。攻击者复制了用于加密货币和认证系统的合法应用程序，并为这些应用程序设置了带后门的GitLab库。

安全研究公司的高级副总裁Ryan Sherstobitoff在接受CSO采访时表示：“假招聘人员假装是软件制造商的代表，向开发者提供工作机会。这使得开发者误以为是与招聘人员或其他技术专家进行合法的互动，从而诱使他们执行后门代码。一旦后门被激活，便会从系统中收集数据，并发送额外的有效负载以寻找开发者的秘密。”

这次攻击活动与过去在2023年9月报告的针对开发者的招聘活动类似，当时的攻击者同样伪装成知名金融公司的假招聘人员，提供工作机会。受害者在招聘过程中被要求找到承载在GitHub上的密码管理器应用中的漏洞，但他们首先需在自己的系统上部署后门代码。

早在4月，朝鲜攻击者就曾利用假招聘人员的策略，诱骗开发者在他们的系统上部署带后门的Nodejs项目，该行动被称为DEV#POPPER。这突显出这是一种成功的攻击策略，攻击者在不断优化他们的方法。

攻击者构建了多层次的基础架构

根据SecurityScorecard收集的数据和对攻击者的指挥控制基础设施的分析，该攻击活动分为三波。11月时，攻击者主要针对181名来自欧洲科技行业的开发者；12月，攻击活动扩展至全球，目标包括数百名开发者，印度成为特定热点，共有284名受害者；1月，又新增了233名受害者，其中110个系统来自印度科技行业。

研究人员表示：“攻击者提取了关键信息，包括开发凭证、身份验证令牌、浏览器存储的密码以及系统信息。一旦数据被C2服务器收集，它将被转移到Dropbox进行整理和存储。与Dropbox的持续连接显示出攻击者系统化的方法，部分服务器的活动会持续超过五小时。”

尽管攻击者使用了数个VPN通道来进行伪装，但其活动还是追踪到了多个朝鲜的IP地址。攻击者通过Astrill VPN接入，然后通过俄罗斯的Oculus Proxy网络IP，最终连接到名为Stark Industries的公司托管的CampC服务器。

攻击者使用了多阶段恶意软件

该组织为受害者数据所构建的管理后台采用了现代技术，例如React和Nodejs，露出了多个API端口以实现精细的操作控制和受害者分类。不同的端

蚂蚁加速器ios