GreedyBear黑客组织的最新活动
俄罗斯黑客组织GreedyBear近期扩大了其活动规模,利用150个“武器化的Firefox扩展”针对国际和讲英语的受害者。根据Koi Security的研究,该组织“重新定义了工业规模的加密盗窃”,在过去五周内通过这些扩展、近500个恶意可执行文件和“数十个”钓鱼网站窃取了超过100万美元。Koi的首席技术官Idan Dardikman在接受Decrypt采访时表示,这一Firefox活动“无疑”是其最有利可图的攻击方式,几乎“获得了报告中提到的100万美元”。
攻击手法与策略
这一特定手法涉及创建广泛下载的加密钱包(如MetaMask、Exodus、Rabby Wallet和TronLink)的假冒版本。GreedyBear的操作人员使用扩展程序空心化技术绕过市场安全措施,最初上传无恶意的扩展版本,然后再更新应用程序以添加恶意代码。他们还发布假评论,给人以信任和可靠性的虚假印象。但一旦下载,这些恶意扩展就会窃取钱包凭证,进而用于盗取加密货币。
GreedyBear不仅在短短一个多月内通过这种方法窃取了100万美元,而且还大幅提升了其操作规模,之前一项活动(在今年4月至7月间进行)仅涉及40个扩展。该组织的另一主要攻击方式涉及近500个恶意Windows可执行文件,这些文件被添加到分发盗版或重打包软件的俄罗斯网站上。这些可执行文件包括凭证窃取程序、勒索软件和木马,Koi Security表示,这表明“一个广泛的恶意软件分发管道,能够根据需要调整战术”。
钓鱼网站与目标受害者
该组织还创建了数十个钓鱼网站,假装提供合法的加密相关服务,如数字钱包、硬件设备或钱包修复服务。GreedyBear利用这些网站诱使潜在受害者输入个人数据和钱包凭证,然后用这些信息窃取资金。Idan Dardikman在接受Decrypt采访时解释道:“值得一提的是,Firefox活动主要针对全球/讲英语的受害者,而恶意可执行文件则主要针对讲俄语的受害者。”
组织结构与控制
尽管攻击手段和目标多样,Koi还报告称“几乎所有”GreedyBear的攻击域名都链接回一个单一的IP地址:185.208.156.66。根据报告,该地址作为协调和收集的中心枢纽,使GreedyBear黑客能够“简化操作”。Dardikman表示,单一IP地址“意味着紧密的集中控制”,而不是分布式网络。“这表明是有组织的网络犯罪,而非国家赞助——政府操作通常使用分布式基础设施以避免单点故障,”他补充道。“很可能是俄罗斯的犯罪团伙为利润而运作,而非国家指挥。”
防范建议
Dardikman表示,GreedyBear可能会继续其活动,并提供了几条避免其扩展影响的建议。他说:“只从有验证的开发者那里安装扩展,且这些开发者有较长的历史。”他还补充说,用户应始终避免使用盗版软件网站。他建议仅使用官方钱包软件,而不是浏览器扩展,尽管他建议如果你是长期投资者,最好远离软件钱包。他说:“对于大量加密资产,使用硬件钱包,但仅从官方制造商网站购买——GreedyBear会创建假冒硬件钱包网站以窃取支付信息和凭证。”
