近日,一起罕见的“反制”事件进入公众视野:一个朝鲜国家资助的黑客组织成员的设备,意外感染了其常用于攻击他人的同类型恶意软件,这一失误直接暴露了该组织与一起大规模加密货币盗窃案之间的关联。
网络安全情报公司Hudson Rock在分析“LummaC2”信息窃取木马的日志时,发现了这台被入侵的设备。经证实,该设备属于朝鲜某国家背景黑客组织内部的一名恶意软件开发人员。
关键线索指向14亿美元Bybit交易所盗窃案
Hudson Rock将获取的数据与威胁情报公司Silent Push的早期发现进行了交叉验证。双重证据链表明,这台被感染的设备曾被用于构建针对Bybit加密货币交易所攻击行动的基础设施。2025年2月发生的Bybit交易所数据泄露事件,长期以来被认为与朝鲜黑客组织有关,外界普遍猜测幕后黑手是著名的Lazarus集团。
报告中最关键的证据来自受感染设备上残留的凭证信息。其中包含一个邮箱地址 trevorgreer9312@gmail.com——该邮箱已被Silent Push标记为可疑。攻击者使用同一个邮箱注册了域名 bybit-assessment.com。该域名在Bybit盗窃案发生前数小时创建,旨在伪装成官方交易所,为网络钓鱼攻击提供支撑。
尽管这台设备的直接使用者可能并非盗窃案的一线执行者,但泄露的数据清晰地揭示了国家资助黑客行动中资源共享的运作模式:开发设备、钓鱼域名、凭证组和通信基础设施都在同一体系内流转。这台设备恰巧成为了整个链条的薄弱环节,为外界窥探通常隐藏在层层VPN和虚假身份背后的操作细节,打开了一扇宝贵的窗口。这起事件为研究高级持续性威胁(APT)提供了难得的真实案例,凸显了网络安全攻防中细节的重要性。
被入侵设备配置与工具分析
取证数据显示,这是一台高性能的工作站,搭载第12代英特尔酷睿i7处理器和16GB内存。设备上安装有Visual Studio Professional 2019和Enigma Protector等专业开发工具。Enigma Protector常用于对可执行文件进行加壳和保护,以规避杀毒软件的检测。这些工具的组合表明,这绝非普通用户的个人电脑,而是一个用于开发恶意软件的专业平台。
浏览器历史记录和应用程序数据进一步揭示了操作者的行为模式:用户通过Astrill VPN将网络流量路由至美国IP地址,但浏览器的默认语言设置为简体中文,其翻译历史中还包含直接的韩语查询记录。设备上同时安装了Slack、Telegram、Dropbox和BeeBEEP等多种通信工具,这些工具既可能用于组织内部联络,也可能被用作命令控制(C2)的通道。Dropbox的文件夹结构尤其显示,攻击者正在上传窃取的数据,以备后续使用。
Astrill VPN与伪造的Zoom安装程序
一个值得注意的关联点是,Hackread.com在2025年11月的一篇报道曾指出,伪装成西方IT职位应聘者的朝鲜黑客同样使用Astrill VPN来隐藏其真实IP地址。此次被入侵的系统还暴露了攻击者为钓鱼攻击所做的准备工作:攻击者注册了 callapp.us 和 callservice.us 等域名,并创建了 zoom.callapp.us 子域名,用于诱骗目标下载伪造的软件更新。分析发现,用于承载伪造Zoom安装程序的本地IP地址,也可追溯至同一台设备。
此事件的特殊之处在于,攻击者似乎并未察觉到自己的设备已被入侵。像LummaC2这类窃密木马,通常被攻击者用来窃取普通用户的浏览器数据、登录凭证和加密货币钱包信息。但这一次,恶意软件“反噬”了其制造者,意外地曝光了史上最精密的加密货币盗窃案背后的基础设施片段,为安全研究人员提供了极其罕见的一手分析样本。Hudson Rock甚至基于这些数据构建了模拟被入侵设备的仿真环境,供业界深入研究其软件配置、浏览器活动及失窃数据流。
窃密木马反噬首例,但并非黑客首次曝光
虽然这是首例公开的朝鲜黑客感染窃密木马的案例,但该国黑客组织的设备并非首次遭到入侵。2025年8月,某黑客组织公布了据称来自朝鲜黑客的9GB失窃数据,泄露内容包含内部工具、操作日志、敏感文档等,直接指向参与网络攻击行动的核心人员。更早的2020年7月,IBM X-Force曾发现伊朗黑客一个容量达40GB的训练视频库,实时演示了劫持邮箱账户的全过程。
此类发生在高级别攻击者身上的“低级”失误实属罕见,可一旦发生,就会为安全社区短暂打开一个观察黑客组织内部运作的珍贵窗口,为防御方提供至关重要的情报。 | 
发表于 昨天 05:06
|
查看: 1|
回复: 0
