北朝鲜的拉撒路小组与“Mach-O Man”恶意软件
北朝鲜的拉撒路小组正在利用一种名为“Mach-O Man”的macOS恶意软件,通过虚假的会议邀请,针对加密货币高管进行攻击,以资助其九位数的去中心化金融(DeFi)抢劫。根据区块链安全公司CertiK的报告,这一行动专门针对金融科技和加密货币领域的高管,结合了社会工程学和终端级的恶意载荷,旨在窃取加密货币及敏感企业数据,同时几乎不留下任何磁盘痕迹。
攻击手法与技术
CertiK的研究人员表示,该活动利用了ClickFix技术,诱使受害者在虚假的支持或会议流程中,将看似“修复”或“验证”的命令直接粘贴到macOS终端中。在这种情况下,诱饵以虚假的在线会议邀请的形式出现,欺骗受害者将恶意修复命令粘贴到Mac终端中,而工具包在使用后会自动删除,以阻碍取证,CertiK的分析指出。
根据威胁情报公司SOC Prime的说法,“Mach-O Man”框架与拉撒路小组的著名Chollima单位相关,并通过被攻陷的Telegram账户和虚假会议邀请进行分发,目标是高价值的加密货币和金融组织。
恶意软件的功能与影响
根据CoinDesk的报道,该工具包包括多个Mach-O二进制文件,旨在分析主机、建立持久性,并通过基于Telegram的指挥与控制系统提取凭证和浏览器数据。谷歌云的Mandiant之前描述了类似的macOS活动,结合了ClickFix与AI辅助的视频深度伪造、虚假的Zoom通话和被劫持的消息账户,以推动目标执行模糊的命令。
Mandiant的研究人员写道:“该活动使用了一个被攻陷的Telegram账户、一个虚假的Zoom会议和AI辅助的欺骗手段,诱使受害者执行终端命令,从而导致macOS感染链。”
拉撒路小组的攻击活动
CertiK的研究员Natalie Newson将最新的“Mach-O Man”浪潮与拉撒路小组更广泛的攻击活动联系在一起,后者在短短两周内从DeFi平台Drift和KelpDAO中窃取了超过5亿美元。在这些事件中,拉撒路小组据称结合了针对一家交易公司的社会工程学和复杂的跨链漏洞,允许攻击者铸造大约116,500个rsETH,并抽走约2.92亿美元的价值。
提供KelpDAO所用桥接基础设施的LayerZero表示,北朝鲜的拉撒路小组是rsETH漏洞的“可能实施者”,并将伪造的跨链消息归咎于单点故障的验证器设计。
加密货币生态系统的风险
安全媒体SecurityWeek报道,拉撒路小组多年来一直在针对加密货币生态系统,2023年和2024年窃取了大约20亿美元的虚拟资产,引用了之前的ClickFix启用活动。随着DeFi已经遭受了研究机构称之为有记录以来最糟糕的黑客月份,市场现在有效地在定价今年另一个超过1亿美元的漏洞,突显出像拉撒路这样的国家关联攻击者已成为加密风险的系统性因素。
