朝鮮黑客組織拉撒路集團(tuán)最近幾年從傳統(tǒng)攻擊轉(zhuǎn)向加密貨幣領(lǐng)域的攻擊，相較于傳統(tǒng)網(wǎng)絡(luò)攻擊，轉(zhuǎn)向加密貨幣領(lǐng)域的攻擊后可以快速盜取加密貨幣并兌換為法定貨幣，在 Web3 領(lǐng)域遭到拉撒路集團(tuán)攻擊的項(xiàng)目數(shù)不勝數(shù)。

為此安全業(yè)界也對拉撒路集團(tuán)進(jìn)行反擊行動，此次由加密貨幣交易所 BitMEX 安全團(tuán)隊(duì)發(fā)布的調(diào)查報(bào)告揭露拉撒路集團(tuán)不同團(tuán)隊(duì)的技術(shù)水平，其中低技能業(yè)務(wù)組負(fù)責(zé)釣魚，而且手段比較拙劣。

BitMEX 的反擊行動也非常有趣，拉撒路集團(tuán)低技能團(tuán)隊(duì)通常負(fù)責(zé)對目標(biāo)發(fā)起社工攻擊，BitMEX 的員工收到冒充某 Web3 項(xiàng)目團(tuán)隊(duì)的邀請，這是拉撒路團(tuán)隊(duì)的常用手段，如果目標(biāo)接受邀請則會被要求加入某個 GitHub 項(xiàng)目并要求在本地計(jì)算機(jī)上運(yùn)行相關(guān)代碼。

BitMEX 被釣魚的員工也看到過類似的新聞報(bào)道，于是向安全團(tuán)隊(duì)報(bào)告此事，BitMEX 的安全團(tuán)隊(duì)則是假裝自己已經(jīng)上鉤并繼續(xù)與對方溝通，然后通過項(xiàng)目中的漏洞入侵了這個低技能團(tuán)隊(duì)使用的服務(wù)器。

研究人員在此次反擊行動中還曝光拉撒路集團(tuán)使用的 IP 地址、數(shù)據(jù)庫和追蹤算法，有趣的是拉撒路集團(tuán)確實(shí)使用 VPN 來掩蓋自己的真實(shí) IP，但由于存在懈怠性導(dǎo)致并非每次都使用 VPN。

可能是在某次行動中拉撒路集團(tuán)成員忘記使用 VPN 掩蓋自己的真實(shí)信息，導(dǎo)致其真實(shí) IP 地址被暴露，這個 IP 地址顯示黑客的實(shí)際位置并非在朝鮮，而是在朝鮮某鄰國的北方城市中。

當(dāng)然這也完全可以理解，根據(jù)此前的溯源調(diào)查報(bào)告，拉撒路集團(tuán)分為多個不同的業(yè)務(wù)組，每個業(yè)務(wù)組負(fù)責(zé)的工作不同，而且不少成員以海外務(wù)工名義或跟隨領(lǐng)事館在海外然后從事黑客行為。

BitMEX 的安全報(bào)告揭露拉撒路集團(tuán)不同業(yè)務(wù)組的技能水平，其中低技能團(tuán)隊(duì)主要負(fù)責(zé)社交工程類的攻擊，例如通過誘騙等多種方式誘導(dǎo)目標(biāo)用戶下載惡意軟件并與之交互；而高技能團(tuán)隊(duì)則負(fù)責(zé)開發(fā)高級代碼，包括利用各種復(fù)雜漏洞。

不過即便這些業(yè)務(wù)組存在非常明顯的不對稱性，但畢竟最終目的都是服務(wù)于成功實(shí)施攻擊并達(dá)到獲取金錢的目的，所以不同威脅能力的團(tuán)隊(duì)會協(xié)作欺騙目標(biāo)用戶。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/