Paradigm：揭開朝鮮黑客組織 Lazarus Group 威脅之謎

原標題：《Demystifying the North Korean Threat》

作者：samczsun，Paradigm 研究合夥人

編譯：Bright，Foresight News

二月的一個早晨，SEAL 911 群組的燈亮了，我們困惑地看着 Bybit 從他們的冷錢包中取出超過 10 億美元的代幣到一個全新的地址，然後迅速開始清算超過 2 億美元的 LST。幾分鐘內，我們從 Bybit 團隊和獨立分析（多重簽名，之前使用公開驗證的 Safe Wallet 實現，現在使用新部署的未經驗證的合約）確認，這實際上不是例行維護。有人發動了加密貨幣歷史上最大的黑客攻擊，而我們是坐在歷史戲幕的最前排。

雖然團隊的一部分成員（以及更廣泛的偵查社區）開始追蹤資金並向合作交易所發送通知，但團隊的其他成員正在試圖弄清楚到底發生了什麼，以及是否有其他資金處於危險之中。幸運的是，識別肇事者很容易。在過去幾年中，只有一個已知的威脅者成功從加密貨幣交易所竊取了數十億美元：朝鮮，也稱為 DPRK。

然而，除此之外，我們幾乎沒有什麼可用的線索。由於朝鮮黑客的狡猾性格和他們自我隱匿的高超手段，不僅很難確定入侵的根本原因，而且甚至很難知道究竟是朝鮮內部的哪個特定團隊應對此負責。我們唯一能依靠的就是現有的情報，這些情報表明朝鮮確實喜歡通過社會工程學來入侵加密貨幣交易所。因此，我們猜測朝鮮很可能入侵了 Bybit 的多重簽名者，然後部署了一些惡意軟件來干擾簽名過程。

事實證明，這個猜測完全是無稽之談。幾天後我們就發現，朝鮮實際上已經破壞了 Safe Wallet 本身的基礎設施，並部署了專門針對 Bybit 的惡意過載。這種複雜程度是任何人都未曾考慮或準備過的，這對市面上的許多安全模型來說是一個重大挑戰。

朝鮮黑客對我們的行業構成了日益嚴重的威脅，我們無法擊敗一個我們不了解或不理解的敵人。關於朝鮮網絡行動的各個方面，有大量記錄在案的事件和文章，但很難將它們拼湊在一起。我希望這篇概述能讓人們更全面地了解朝鮮的運作方式以及他們的策略和程序，從而讓我們更容易實施正確的緩解措施。

組織結構

也許需要解決的最大誤解就是如何對朝鮮的大量網絡活動進行分類和命名。雖然口語中使用「Lazarus Group」一詞來概括是可以接受的，但在詳細討論朝鮮的系統性網絡威脅時，使用更嚴謹的說法會有所幫助。

首先，了解朝鮮的「組織結構圖」會有所幫助。朝鮮最高層是朝鮮的執政黨（也是唯一的執政黨）------朝鮮勞動黨 (WPK)，朝鮮所有政府機構都受其領導。其中包括朝鮮人民軍 (KPA) 和中央委員會。人民軍內有總參謀部 (GSD)，偵察總局 (RGB) 就設於此。中央委員會下屬有軍需工業部 (MID)。

RGB 負責幾乎所有朝鮮網絡戰，包括加密貨幣行業觀察到的幾乎所有朝鮮活動。除了臭名昭著的 Lazarus Group，RGB 中出現的其他威脅行為者包括 AppleJeus、APT38、DangerousPassword 和 TraderTraitor。另一方面，MID 負責朝鮮的核導彈計劃，是朝鮮 IT 工作者的主要來源，情報界將其稱為 Contagious Interview 和 Wagemole。

拉撒路集團 (Lazarus Group)

拉撒路集團 (Lazarus Group) 是一個高度複雜的黑客組織，網絡安全專家認為，歷史上一些規模最大、破壞性最強的黑客攻擊都是該組織所為。2016 年，Novetta 在分析索尼影視娛樂 (Sony) 黑客攻擊事件時首次發現了 Lazarus Group。

2014 年，索尼正在製作動作喜劇片《刺殺金正恩》，其主要情節是金正恩遭受羞辱以及隨後的刺殺。可以理解，這並沒有受到朝鮮政權的歡迎，朝鮮政權通過入侵索尼網絡、竊取數 TB 的數據、洩露數百 GB 的機密或其他敏感信息並刪除原件進行了報復。正如當時的首席執行官邁克爾·林頓所說，「幹這種事的人不僅偷走了房子裡的所有東西，他們還把房子燒毀了」。最終，索尼在這次攻擊中的調查和補救費用至少為 1500 萬美元，損失可能更多。

隨後在 2016 年，一個與 Lazarus Group 極為相似的黑客入侵了孟加拉國銀行，意圖竊取近 10 億美元。在一年的時間裡，黑客努力對孟加拉國銀行的員工進行社會工程學攻擊，最終獲得遠程訪問權限並在銀行內部網絡內移動，直至到達負責與 SWIFT 網絡交互的計算機。從那時起，他們就等待絕佳的攻擊機會：孟加拉國銀行周四休周末，但紐約聯邦儲備銀行周五休周末。孟加拉國當地時間周四晚上，威脅行為者利用其對 SWIFT 網絡的訪問權限向紐約聯邦儲備銀行發送了 36 個單獨的轉帳請求，當時是當地時間周四早上。在接下來的 24 小時內，紐約聯邦儲備銀行將這些轉帳轉發給菲律賓的黎刹商業銀行 (RCBC)，後者開始採取行動。隨後，當孟加拉銀行重新開門營業時，發現了黑客攻擊事件，他們試圖通知黎刹商業銀行停止正在進行的交易，卻發現黎刹商業銀行因為農曆新年放假已經關閉。

最後，2017 年，大規模的 WannaCry 2.0 勒索軟件攻擊摧毀了世界各地的行業，部分原因被歸咎於 Lazarus Group 。據估計，WannaCry 造成了數十億美元的損失，它利用了 NSA 最初開發的 Microsoft Windows 0day，不僅加密了本地設備，還傳播到其他可訪問的設備，最終感染了全球數十萬台設備。幸運的是，由於安全研究員 Marcus Hutchins 在八小時內發現並激活了終止開關，最終損失被限制在了一定範圍內。

縱觀 Lazarus Group 的發展歷程，他們展現出了極高的技術能力和執行力，而他們的目標之一就是為朝鮮政權創造收入。因此，他們將注意力轉向加密貨幣行業只是時間問題。

衍生

隨著時間的推移，隨著 Lazarus Group 成為媒體描述朝鮮網絡活動時喜歡使用的統稱，網絡安全行業為 Lazarus Group 和朝鮮的具體活動創造了更精確的名稱。APT38 就是一個例子，它於 2016 年左右從 Lazarus Group 分離出來，專注於金融犯罪，首先針對銀行（如孟加拉國銀行），然後是加密貨幣。後來在 2018 年，一種名為 AppleJeus 的新威脅被發現正在傳播針對加密貨幣用戶的惡意軟件。最後，早在 2018 年，當 OFAC 首次宣布對朝鮮人使用的兩家幌子公司實施制裁時，冒充 IT 工作者的朝鮮人就已經滲透到科技行業。

朝鮮 IT 工作者

儘管最早有記錄顯示提到朝鮮 IT 工作者來自 2018 年 OFAC 制裁，但 Unit 42 的 2023 年報告進行了更詳細的說明，並確定了兩個不同的威脅行為者：Contagious Interview 和 Wagemole 。

據悉，Contagious Interview 會冒充知名公司的招聘人員，誘騙開發人員參與虛假的面試流程。隨後，潛在候選人被指示克隆一個存儲庫進行本地調試，表面上是作為編碼挑戰，但實際上該存儲庫包含一個後門，執行後門會將受影響機器的控制權交給攻擊者。該活動一直在進行中，最近一次記錄是在 2024 年 8 月 11 日。

另一方面，Wagemole 特工的主要目標不是雇佣潛在受害者，而是被公司雇佣，在那裡他們只是像普通工程師一樣工作，儘管效率可能不高。話雖如此，有記錄顯示 IT 工作者利用他們的訪問權限進行攻擊，例如在 Munchables 事件中，一名與朝鮮活動有關聯的員工利用他們對智能合約的特權訪問權限竊取了所有資產。

Wagemole 特工的複雜程度各不相同，從千篇一律的簡歷模板和不願參加視頻通話，到高度定制的簡歷、深度偽造的視頻面試以及駕駛執照和水電費賬單等身份證明文件。在某些情況下，特工在受害組織中潛伏長達一年，然後利用他們的訪問權限入侵其他系統和 / 或完全套現。

蘋果耶穌（AppleJeus）

AppleJeus 主要專注於傳播惡意軟件，擅長進行複雜的供應鏈攻擊。2023 年，3CX 供應鏈攻擊使攻擊者有可能感染 3CX VoIP 軟件的 12 1200 多萬用戶，但後來發現 3CX 本身也受到了影響其上游供應商之一 Trading Technologies 的供應鏈攻擊的攻擊。

在加密貨幣行業，AppleJeus 最初通過分發包裝成合法軟件（例如交易軟件或加密貨幣錢包）的惡意軟件。然而，隨著時間的推移，他們的策略發生了變化。2024 年 10 月，Radiant Capital 被一名冒充可信承包商的威脅行為者通過 Telegram 發送的惡意軟件攻陷，Mandiant 將其歸咎於 AppleJeus 。

危險密碼（Dangerous Password）

Dangerous Password 負責對加密貨幣行業進行低複雜度的基於社會工程學的攻擊。早在 2019 年，JPCERT/CC 就記錄了 Dangerous Password 會發送帶有誘人附件的釣魚電子郵件供用戶下載。前幾年，Dangerous Password 負責冒充行業知名人士發送釣魚電子郵件，主題為「穩定幣和加密資產風險巨大」。

如今，Dangerous Password 仍在發送釣魚郵件，但也已擴展到其他平台。例如，Radiant Capital 報告稱，他們通過 Telegram 收到一條釣魚消息，該消息來自冒充安全研究人員的人，該人分發了一個名為「PenpieHackingAnalysis_Report.zip」的文件。此外，用戶報告稱，有人冒充記者和投資者聯繫他們，要求使用一個不起眼的視頻會議應用安排通話。與 Zoom 一樣，這些應用程序會下載一次性安裝程序，但運行時會將惡意軟件安裝在設備上。

交易者叛徒（TraderTraitor）

TraderTraitor 是針對加密貨幣行業最老練的朝鮮黑客，並對 Axie Infinity 和 Rain.com 等發起了黑客攻擊。TraderTraitor 幾乎只針對擁有大量儲備的交易所和其他公司，並且不會對其目標部署零日漏洞，而是使用高度複雜的魚叉式網絡釣魚技術對受害者進行攻擊。在 Axie Infinity 黑客攻擊案例中，TraderTraitor 通過 LinkedIn 聯繫了一位高級工程師，並成功說服他們接受一系列面試，然後發送了一份「提議」，從而投遞了惡意軟件。然後，在 WazirX 黑客攻擊中，TraderTraitor 特工破壞了簽名管道中一個尚未確定的組件，然後通過反覆存款和取款耗盡交易所的熱錢包，導致 WazirX 工程師進行從冷錢包到熱錢包的重新平衡。當 WazirX 工程師試圖簽署交易以轉移資金時，他們卻被誘騙簽署了一項交易，將冷錢包的控制權移交給 TraderTraitor。這與 2025 年 2 月針對 Bybit 的攻擊非常相似，當時 TraderTraitor 首先通過社會工程攻擊破壞了 Safe{Wallet} 基礎設施，然後將惡意 JavaScript 部署到專門針對 Bybit 冷錢包的 Safe Wallet 前端。當 Bybit 去重新平衡他們的錢包時，惡意代碼被激活，反而導致 Bybit 工程師簽署一項交易，將冷錢包的控制權移交給 TraderTraitor。

保持安全

朝鮮已經展示了對付對手部署零日漏洞的能力，但目前還沒有朝鮮對加密貨幣行業部署零日漏洞的記錄或已知事件。因此，對於幾乎所有朝鮮黑客的威脅來說，典型的安全建議都適用。

對於個人來說，要運用常識，警惕社交工程手段。例如，如果有人聲稱擁有一些高度機密的信息，並願意與您分享，請謹慎行事。或者，如果有人對您施加時間壓力，要求您下載並運行某些軟件，請考慮他們是否試圖讓您陷入無法進行邏輯思考的境地。

對於組織而言，儘可能應用最小特權原則。儘量減少有權訪問敏感系統的人數，並確保他們使用密碼管理器和 2FA。保持個人設備和工作設備分開，並在工作設備上安裝移動設備管理 (MDM) 和端點檢測與響應 (EDR) 軟件，以確保黑客入侵前的安全性和黑客入侵後的可見性。

不幸的是，對於大型交易所或其他高價值目標，TraderTraitor 即使不需要零日漏洞也能超出預期的進行破壞。因此，必須採取額外的預防措施，確保不存在單點故障，以免一次入侵就導致資金全部損失。

然而，即使一切都失敗了，仍然還有希望。聯邦調查局有一個專門跟蹤和防止朝鮮入侵的部門，多年來一直在進行受害者通知，最近我很高興能幫助該部門的特工與潛在的朝鮮目標建立聯繫。因此，為了做好最壞的準備，請確保您有公開的聯繫信息，或者您與生態系統中的足夠多的人有聯繫（例如 SEAL 911），這樣穿越社交圖譜的消息就能以最快速度到達您手中。