BitMEX 挫敗 Lazarus Group 的黑客攻擊企圖，揭露黑客 IP 和操作漏洞

根據 BitMEX 週五發布的博客文章，該團隊現已建立內部監控系統，以監視更多感染並可能發現未來的操作安全錯誤。

整個事情開始於BitMEX有人在 LINKedIn 上聯繫了一名員工，提議他從事虛假NFT市場項目，但該提議與 Lazarus 使用的已知網絡釣魚策略相符，因此該員工立即舉報，並開始全面調查。

BitMEX 的安全團隊訪問了攻擊者共享的 GitHub 代碼庫，其中包含一個 Next.js/React 項目。 但其中隱藏著一些代碼，旨在讓員工在不知情的情況下在其係統上執行惡意負載。 團隊沒有運行這些代碼，而是直接進行了分析。

BitMEX 剖析惡意軟件，發現 Lazarus 指紋

BitMEX 工程師在代碼庫中搜索了“eval”一詞，這是惡意軟件中常見的危險信號。 其中一行代碼被註釋掉了，但仍然暴露了其意圖。 如果該代碼處於活動狀態，它會訪問“hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726”來獲取 cookie 並執行。 該域名此前已被 Palo Alto Networks 的 UNIt 42 團隊關聯到 Lazarus，該團隊多年來一直在追踪朝鮮的網絡活動。

另一行曾是活躍。 它向“hxxp://fashDeFi[.]store:6168/defy/v5”發送了請求並執行了響應。 BitMEX 手動獲取了該 JavaScript 代碼，發現它被嚴重混淆。 據報導，該團隊使用反混淆代碼工具 webcrack 剝離了這些混淆層。 最終輸出結果比較混亂，但可讀性尚可，因為它看起來像是三個不同的腳本合併成了一個。

代碼的一部分包含 Chrome 擴展程序的標識符，這通常指向竊取憑證的惡意軟件。 其中一個字符串 p.zi 看起來像是 BeaverTail 活動中使用的舊版 LazARus 惡意軟件，該活動此前已被 Unit 42 記錄。 由於 BeaverTail 組件已公開，BitMEX 決定不再對其進行分析。

相反，他們專注於另一個發現：連接到 SupABase 實例的代碼。 Supabase 是一個面向開發者的後端平台，有點像 Firebase。 問題是什麼？ Lazarus 開發者沒有鎖定它。 當 BitMEX 測試它時，他們能夠直接訪問數據庫——無需登錄，沒有任何保護。

黑客暴露受感染的設備日誌和他們自己的 IP

Supabase 數據庫包含 37 台受感染機器的日誌。 每條日誌都包含用戶名、主機名、操作系統、IP 地址、地理位置和時間戳。 BitMEX 注意到了一些規律——一些設備重複出現，這使得它們很可能是開發或測試機器。 大多數主機名的命名格式遵循 3-XXX 結構。

許多 IP 地址來自 VPN 提供商。 一位名為“Victor”的用戶經常使用 Touch VPN 連接。 另一位名為“GHOST72”的用戶則使用了 Astrill VPN。 但 Victor 搞砸了。 鏈接到他的一個條目使用了不同的 IP 地址——223.104.144.97，這是中國移動位於中國嘉興的住宅 IP 地址。 這並非 VPN 服務。 這很可能是 Lazarus 運營者的真實 IP 地址。 BitMEX 將此標記為重大操作故障。

BitMEX 隨後構建了一個工具來持續 PIng Supabase 數據庫。 自 5 月 14 日以來，該工具已從數據庫中收集了 856 條條目，這些條目可追溯到 3 月 31 日。 其中有 174 個獨特的用戶名和主機名組合。 該系統現在持續運行，以查找新的感染或攻擊者的更多錯誤。

通過檢查時間戳，BitMEX 發現 Lazarus 的活動在 UTC 時間上午 8 點到下午 1 點之間減少，也就是平壤時間下午 5 點到晚上 10 點。 這符合其結構化的工作時間表，進一步證明該組織並非一群自由職業的黑客，而是一個有組織的團隊。

安全團隊確認 Lazarus 模式及內部分裂

Lazarus 集團以社會工程攻擊聞名。 在 Bybit 數據洩露等早期事件中，他們曾誘騙 Safe WALlet 的一名員工運行惡意文件，從而獲得初始訪問權限。

然後，該團隊的另一部分接管了該賬戶，訪問了 AWS 環境，並修改了前端代碼，從冷錢包中竊取加密貨幣。 BitMEX 表示，這種模式表明該組織可能分成了多個小組——一些小組進行基本的網絡釣魚攻擊，另一些小組在獲得訪問權限後進行高級入侵。

BitMEX 寫道：“過去幾年裡，該組織似乎已經分裂成多個子組織，這些子組織的技術水平並不一定相同。” 安全團隊表示，此次攻擊活動也遵循了同樣的模式。 LinkedIn 上最初的信息很簡單，GitHub 代碼庫也比較業餘。

但後漏洞利用腳本展現出更高的技巧，顯然是由經驗豐富的人編寫的。 在對惡意軟件進行反混淆後，BitMEX 能夠提取攻擊指標 (IoC) 並將其輸入到其內部系統中。

他們重命名了變量，清理了腳本，並遵循了它的工作原理。 代碼的早期部分是新的，而且據說將系統數據（用戶名、IP 等）直接發送到 Supabase，使任何找到開放數據庫的人都可以輕鬆進行跟踪。

BitMEX 還識別了開發過程中使用的機器。 例如，Victor@3-KZH 使用了 Touch VPN 和中國移動。 GHOST72@3-UJS-2 和 SUPER@3-AHR-2 等其他機器則使用了 Astrill、Zoog 和 Hotspot Shield。 日誌甚至顯示了 Admin@3-HIJ、Lenovo@3-RKS、GoldRock@DESKTOP-N4VEL23 和 Muddy@DESKTOP-MK87CBC 等用戶賬戶。 這些很可能是攻擊者設置的測試環境。

Cryptopolitan Academy：想在 2025 年實現財富增值嗎？ 歡迎參加我們即將推出的網絡課程，學習如何利用 defi 實現增值。 保存您的位置