Lazarus 组织因新的 Mach-O Man 攻击而变得特别危险：CertiK

安全专家周三警告说，朝鲜国营的 Lazarus Group 正在开展一项名为“Mach-O Man”的新活动，该活动将日常业务通信变成凭证盗窃和数据丢失的直接途径。

CertiK 的高级区块链安全研究员 Natalie Newson 周三告诉 CoinDesk，自 2017 年以来，该组织的累计抢劫金额估计为 67 亿美元，目标是金融科技、加密货币和其他高价值高管和公司。

仅在过去两周内，朝鲜黑客就通过 Drift 和 KelpDAO 漏洞窃取了超过 5 亿美元的资金，这似乎是一场持续的活动。加密行业需要开始以银行看待民族国家网络参与者的方式来看待 Lazarus：“作为一个持续且资金充足的威胁，而不仅仅是另一个新闻头条，”她说。

纽森说：“拉撒路现在特别危险的是他们的活动水平。” “KelpDAO、Drift，以及现在的新 macOS 恶意软件工具包，都在同一个月内出现。这不是随机黑客攻击；这是国家指导的金融操作，其运行规模和速度是机构特有的。”

她说，朝鲜已将加密货币盗窃变成了一个利润丰厚的国家产业，而 Mach-O Man 只是该过程中的最新产品。虽然 Lazarus 创建了它，但其他网络犯罪组织也在使用它。

“这是一个模块化的 macOS 恶意软件工具包，由 Lazarus Group 臭名昭著的 Chollima 部门创建。它使用专为加密和金融科技运行的 Apple 环境量身定制的原生 Mach-O 二进制文件，”她说。

Newson 表示 Mach-O Man 使用一种称为 ClickFix 的交付方法。 “澄清这一点很重要，因为很多报道都混淆了两个不同的事情，”她指出。 ClickFix 是一种社会工程技术，要求受害者将命令粘贴到其终端中以修复模拟连接问题。

安全专家兼威胁情报公司 BCA Ltd. 创始人毛罗·埃尔德里奇 (Mauro Eldritch) 表示，Lazarus 的工作原理是通过 Telegram 向高管发送“紧急”会议邀请，邀请他们参加 Zoom、Microsoft Teams 或 Google Meet 通话。

该链接指向一个虚假但令人信服的网站，该网站指示他们将一个简单的命令复制并粘贴到 Mac 终端中以“修复连接问题”。通过这样做，受害者可以立即访问公司系统、SaaS 平台和财务资源。当他们发现自己被剥削时，通常为时已晚。

安全威胁研究员 Vladimir S. 在 X 上表示，这种攻击有多种变体。在某些情况下，Lazarus 攻击者已经用这种新恶意软件劫持了去中心化金融 (DeFI) 项目的域名，方法是用来自 Cloudflare 的虚假消息替换其网站，要求他们输入命令以授予访问权限。

Certik 的 Newson 表示：“这些虚假的‘验证步骤’引导受害者通过键盘快捷键运行有害命令。” “页面看起来很真实，指令看起来很正常，受害者自己发起操作——这就是为什么传统的安全控制经常会错过它。”

这次黑客攻击的大多数受害者在损害发生之前不会意识到他们的安全已被破坏，此时恶意软件也已经自我删除。

“他们可能还不知道，”她说。 “如果他们这样做了，他们可能无法确定哪个变体影响了他们。”