慢霧安全團隊揭秘 Lazarus Group 入侵手法

原文標題：《加密貨幣 APT 情報：揭秘 Lazarus Group 入侵手法》

作者： 23pds \& Thinking （慢霧安全團隊）

編譯： lenaxin ， ChainCatcher

背景

自 2024 年 6 月以來，慢霧安全團隊陸續收到多家團隊的邀請，對多起黑客攻擊事件展開取證調查。經過前期的積累以及對過去 30 天的深入分析調查，我們完成了對黑客攻擊手法和入侵路徑的復盤。結果表明，這是一場針對加密貨幣交易所的國家級 APT 攻擊。通過取證分析與關聯追蹤，確認攻擊者正是 Lazarus Group 。

在獲取相關 IOC （入侵指標）和 TTP （戰術、技術與程序）後，我們第一時間將該情報同步給合作夥伴。同時，我們還發現其他合作夥伴也遭遇了相同的攻擊方式和入侵手法。不過，相較之下他們較為幸運 ------ 黑客在入侵過程中觸發了部分安全告警，在安全團隊的及時響應下，攻擊被成功阻斷。

鑑於近期針對加密貨幣交易所的 APT 攻擊持續發生，形勢愈發嚴峻，我們在與相關方溝通後，決定對攻擊的 IOC 和 TTP 進行脫敏處理並公開發布，以便社區夥伴能夠及時防禦和自查。同時，受保密協議限制，我們無法披露過多合作夥伴的具體信息。接下來，我們將重點分享攻擊的 IOC 和 TTP 。

攻擊者信息

攻擊者域名：

• gossipsnare [.] com , 51.38.145.49:443
• showmanroast [.] com , 213.252.232.171:443
• getstockprice [.] info , 131.226.2.120:443
• eclairdomain [.] com , 37.120.247.180:443
• replaydreary [.] com , 88.119.175.208:443
• coreladao [.] com
• cdn . clubinfo [.] io

涉及事件的 IP ：

• 193.233.171[.]58
• 193.233.85[.]234
• 208.95.112[.]1
• 204.79.197[.]203
• 23.195.153[.]175

攻擊者的 GitHub 用戶名：

• https :// github . com / mariaauijj
• https :// github . com / patriciauiokv
• https :// github . com / lauraengmp

攻擊者的社交賬號：

• Telegram : @ tanzimahmed88

後門程序名稱：

• StockInvestSimulator - main . zip
• MonteCarloStockInvestSimulator - main . zip
• 類似 … StockInvestSimulator - main . zip 等

真實的項目代碼：

( https :// github . com / cristianleoo / montecarlo - portfolio - management )

攻擊者更改後的虛假項目代碼：

對比後會發現， data 目錄多了一個 data _ fetcher . py 文件，其中包含一個奇怪的 Loader ：

![](https://admin2049.chaincatcher.info/upload/image/20250224/1740373839972-802342.webp)

攻擊者使用的後門技術

攻擊者利用 pyyaml 進行 RCE （遠程代碼執行），實現惡意代碼下發，從而控制目標電腦和伺服器。這種方式繞過了絕大多數殺毒軟件的查殺。在與合作夥伴同步情報後，我們又獲取了多個類似的惡意樣本。

關鍵技術分析參考： https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

慢霧安全團隊通過對樣本的深入分析，成功復現了攻擊者利用 pyyaml 進行 RCE （遠程代碼執行）的攻擊手法。

攻擊關鍵分析

目標和動機

目標：攻擊者的主要目標是通過入侵加密貨幣交易所的基礎設施，獲取對錢包的控制權，進而非法轉移錢包中的大量加密資產。

動機：試圖竊取高價值的加密貨幣資產。

技術手段

1. 初始入侵

• 攻擊者利用社會工程學手段，誘騙員工在本地設備或 Docker 內執行看似正常的代碼。
• 在本次調查中，我們發現攻擊者使用的惡意軟件包括 ` StockInvestSimulator - main . zip ` 和 ` MonteCarlo StockInvestSimulator - main . zip `。這些文件偽裝成合法的 Python 項目，但實則是遠程控制木馬，並且攻擊者利用 pyyaml 進行 RCE ，作為惡意代碼的下發和執行手段，繞過了大多數殺毒軟件的檢測。

1. 權限提升

• 攻擊者通過惡意軟件成功獲取員工設備的本地控制權限，並且誘騙員工將 docker - compose . yaml 中的 privileged 設置為 true 。
• 攻擊者利用 privileged 設置為 true 的條件進一步提升了權限，從而完全控制了目標設備。

1. 內部偵察和橫向移動

• 攻擊者利用被入侵的員工電腦對內網進行掃描。
• 隨後，攻擊者利用內網的服務和應用漏洞，進一步入侵企業內部伺服器。
• 攻擊者竊取了關鍵伺服器的 SSH 密鑰，並利用伺服器之間的白名單信任關係，實現橫向移動至錢包伺服器。

1. 加密資產轉移

• 攻擊者成功獲得錢包控制權後，將大量加密資產非法轉移至其控制的錢包地址。

1. 隱藏痕跡

• 攻擊者利用合法的企業工具、應用服務和基礎設施作為跳板，掩蓋其非法活動的真實來源，並刪除或破壞日誌數據和樣本數據。

過程

攻擊者通過社會工程學手段誘騙目標，常見方式包括：

1. 偽裝成項目方，尋找關鍵目標開發人員，請求幫助調試代碼，並表示願意提前支付報酬以獲取信任。

我們追蹤相關 IP 和 ua 信息後發現，這筆交易屬於第三方代付，沒有太多價值。

2. 攻擊者偽裝成自動化交易或投資人員，提供交易分析或量化代碼，誘騙關鍵目標執行惡意程序。一旦惡意程序在設備上運行，它會建立持久化後門，並向攻擊者提供遠程訪問權限。

• 攻擊者利用被入侵設備掃描內網，識別關鍵伺服器，並利用企業應用的漏洞進一步滲透企業網絡。所有攻擊行為均通過被入侵設備的 VPN 流量進行，從而繞過大部分安全設備的檢測。
• 一旦成功獲取相關應用伺服器權限，攻擊者便會竊取關鍵伺服器的 SSH 密鑰，利用這些伺服器的權限進行橫向移動，最終控制錢包伺服器，將加密資產轉移到外部地址。整個過程中，攻擊者巧妙利用企業內部工具和基礎設施，使攻擊行為難以被快速察覺。
• 攻擊者會誘騙員工刪除調試運行的程序，並且提供調試報酬，以掩蓋攻擊痕跡。

此外，由於部分受騙員工擔心責任追究等問題，可能會主動刪除相關信息，導致攻擊發生後不會及時上報相關情況，使得排查和取證變得更加困難。

應對建議

APT （高級持續性威脅）攻擊因其隱蔽性強、目標明確且長期潛伏的特點，防禦難度極高。傳統安全措施往往難以檢測其複雜的入侵行為，因此需要結合多層次網絡安全解決方案，如實時監控、異常流量分析、端點防護與集中日誌管理等，才能盡早發現和感知攻擊者的入侵痕跡，從而有效應對威脅。慢霧安全團隊提出 8 大防禦方向和建議，希望可以為社區夥伴提供防禦部署的參考：

1. 網絡代理安全配置

目標： 在網絡代理上配置安全策略，以實現基於零信任模型的安全決策和服務管理。

解決方案： Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等。

2. DNS 流量安全防護

目標： 在 DNS 層實施安全控制，檢測並阻止解析已知惡意域名的請求，防止 DNS 欺騙或數據洩露。

解決方案： Cisco Umbrella (https://umbrella.cisco.com/) 等。

3. 網絡流量/主機監控與威脅檢測

目標： 分析網絡請求的數據流，即時監測異常行為，識別潛在攻擊（如 IDS/IPS），伺服器安裝 HIDS，以便盡早發現攻擊者的漏洞利用等攻擊行為。

解決方案： SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里雲安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等。

4. 網絡分段與隔離

目標： 將網絡劃分為較小的、相互隔離的區域，限制威脅傳播範圍，增強安全控制能力。

解決方案： Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html)，雲平台安全組策略等。

5. 系統加固措施

目標： 實施安全強化策略（如配置管理、漏洞掃描和補丁更新），降低系統脆弱性，提升防禦能力。

解決方案： Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等。

6. 端點可見性與威脅檢測

目標： 提供對終端設備活動的即時監控，識別潛在威脅，支持快速響應（如 EDR），設置應用程序白名單機制，發現異常程序並及時告警。

解決方案： CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。

7. 集中日誌管理與分析

目標： 將來自不同系統的日誌數據整合到統一平台，便於安全事件的追蹤、分析和響應。

解決方案： Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等。

8. 培養團隊安全意識

目標： 提高組織成員安全意識，能夠識別大部分社會工程學攻擊，並在出事後主動上報異常，以便更及時進行排查。

解決方案： 區塊鏈黑暗森林自救手冊 (https://darkhandbook.io/), Web3 釣魚手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。

此外，我們建議周期性開展紅藍對抗的演練，以便識別出安全流程管理和安全防禦部署上的薄弱點。

寫在最後

攻擊事件常常發生在週末及傳統節假日期間，給事件響應和資源協調帶來了不小的挑戰。在這一過程中，慢霧安全團隊的 23pds （山哥）, Thinking , Reborn 等相關成員始終保持警覺，在假期期間輪班應急響應，持續推進調查分析。最終，我們成功還原了攻擊者的手法和入侵路徑。

回顧本次調查，我們不僅揭示了 Lazarus Group 的攻擊方式，還分析了其利用社會工程學、漏洞利用、權限提升、內網滲透及資金轉移等一系列戰術。同時，我們基於實際案例總結了針對 APT 攻擊的防禦建議，希望能為行業提供參考，幫助更多機構提升安全防護能力，減少潛在威脅的影響。網絡安全對抗是一場持久戰，我們也將持續關注類似攻擊，助力社區共同抵禦威脅。