朝鲜黑客正利用一种名为“隐藏风险”的复杂新型恶意软件攻击加密货币企业。了解这种隐秘攻击的工作原理、所用技术以及如何保护自己免受这种日益严重的威胁。

根据SentinelOne分享的调查结果， 朝鲜政府支持的APT组织“BlueNoroff”正在针对加密相关企业发起代号为“隐藏风险”的攻击活动。

据报道，SentinelLabs的威胁研究人员发现，朝鲜国家支持的Lazarus Group的一个分支BlueNoroff在2024年7月开始的一场活动中，通过电子邮件和PDF诱饵以虚假新闻标题/加密相关故事为目标，攻击加密货币和DeFi企业。

研究人员指出，攻击者采用了独特的策略来逃避检测并入侵受害者系统。攻击始于一封精心制作的网络钓鱼电子邮件，诱使毫无戒心的受害者点击一个恶意链接，该链接指向一个看似合法的PDF文档，而该文档实际上隐藏了一个基于Swift语言的恶意Mac应用程序，该应用程序巧妙地伪装成PDF阅读器（于2024年10月19日签署/公证）。

研究人员解释说：“该应用程序伪装成与加密货币主题相关的PDF文档的链接，例如‘比特币价格新一轮飙升背后的隐藏风险’、‘山寨币季节2.0——值得关注的隐藏宝石’和‘稳定币和DeFi、CeFi的新时代’ 。 ”

一旦执行，该应用程序就会秘密下载诱饵PDF（隐藏风险），然后在Intel和Apple硅片机上下载/执行恶意x86-64二进制文件（“增长”）。

Growth会持续安装并充当后门。它会收集有关受感染系统的敏感信息、与攻击者控制的远程服务器通信，并且可能接收和执行命令。

为了确保持久性，攻击者选择了一种独特的方法来修改Zsh配置文件(zshenv)，通过添加恶意代码来确保其持续存在。这是Zsh shell使用的关键文件，在每个Zsh会话期间都会被调用，这使得后门可以在系统启动时自动执行，即使在重新启动后也是如此。

SentinelLabs的研究人员认为此次攻击活动与BlueNoroff有关联，因为其技术与BlueNoroff过去的攻击活动类似，包括解析服务器命令并将其保存在隐藏文件中。此次攻击活动的网络基础设施分析还揭示了与之前攻击活动中使用的域名之间的联系，这些域名使用NameCheap和Quickpacket等服务进行托管。

此外，该恶意软件使用先前链接到BlueNoroff的“RustBucket”恶意软件的用户代理字符串，并利用开发者帐户让Apple公证他们的恶意软件，从而绕过Gatekeeper等安全措施。

BlueNoroff曾多次以加密货币交易所、风险投资公司和银行为目标，对行业构成持续威胁。他们更喜欢使用基于PDF的诱饵，主要是因为PDF文档被广泛使用和信任，使其成为恶意负载的理想选择。

最近报道了与BlueNoroff相关的恶意软件TodoSwift，它伪装成合法的PDF查看器，以及针对macOS的ObjCShellz恶意软件，用于在Intel和Arm Mac上运行远程shell命令。

因此，务必仔细检查电子邮件地址，警惕来自匿名来源的电子邮件，避免点击未知电子邮件中的链接，尤其是要求下载应用程序/PDF的链接。鉴于针对macOS的攻击突然增加，macOS用户必须保持对风险的认识。