朝鲜网络间谍组织 BlueNoroff 升级对加密货币行业的攻击

与朝鲜国家有联系的网络间谍组织 BlueNoroff 正在升级针对加密货币行业的攻击，特别是通过针对 MacOS 的恶意软件活动

一个与朝鲜国家有关联的网络间谍组织 BlueNoroff 最近升级了针对加密货币行业的攻击，特别是通过名为“隐藏风险”的针对 MacOS 的恶意软件活动。该活动涉及针对加密货币交易所和 DeFi 平台中不同职位的 MacOS 用户的高级网络钓鱼策略。

BlueNoroff 已转向使用恶意电子邮件，声称是加密货币趋势或研究报告的更新，以提供受感染的 PDF。下载这些文件后，受害者会无意中触发一系列针对其设备的恶意软件阶段。最初的诱惑表现为与加密货币主题相关的合法新闻或研究内容，诱骗用户下载模仿 PDF 文件的恶意应用程序。安装后，该恶意软件会绕过 Apple 的内置安全检查，秘密打开诱饵文档，同时在受害者的 MacOS 系统上嵌入后门。

恶意软件的多阶段过程使黑客能够远程访问受感染的计算机，使他们能够监视和控制用户活动并检索敏感数据，包括数字钱包的私钥——对于处理大量加密货币的人来说，这是特别有价值的资产。

“隐藏风险”活动与 BlueNoroff 通过社交媒体参与瞄准受害者的传统方法不同。从历史上看，黑客会通过在 LinkedIn 或 Twitter 等平台上的长时间互动与个人建立信任，通常使用虚假的个人资料来显得可信。在当前的活动中，BlueNoroff 选择直接网络钓鱼策略。该组织现在部署的电子邮件看起来像是紧急市场更新或独家研究结果，主题包括“比特币价格新一轮上涨背后的隐藏风险”或“山寨币第 2.0 季——值得关注的隐藏宝石。”

攻击者经常冒充已知的加密行业人物或研究人员，利用不相关领域的真实专业人士的名字来进一步说服收件人相信电子邮件的真实性。例如，一封网络钓鱼电子邮件引用了德克萨斯大学学者的一篇题为“比特币 ETF：机遇与风险”的研究论文，增加了收件人参与电子邮件内容的可能性。

“隐藏风险”恶意软件最令人担忧的方面之一是其先进的规避技术。该恶意软件使用真正的 Apple 开发者 ID 进行签名，这使其能够绕过 Apple 的 Gatekeeper 安全机制，该机制旨在阻止不受信任的软件。此外，它还利用了 macOS 系统中很少被利用的功能，修改“zshenv”配置文件以保持持久性。这种技术可以避免触发 Apple 的后台警报通知，从而使用户难以检测和删除恶意软件。

SentinelLabs 的研究还显示，黑客有可能获取或劫持有效的 Apple 开发者帐户，使他们能够反复绕过 macOS 的安全功能。这一发展对该行业构成了重大的安全威胁，尤其是在加密货币和金融领域的许多用户越来越依赖 macOS 进行日常操作的情况下。

为了增强可信度，BlueNoroff 创建了一个广泛的基础设施网络，模仿合法的加密货币和金融服务提供商。与 Web3 和 DeFi 公司等平台链接的域名已使用信誉良好的域名注册商（包括 Namecheap）进行注册。黑客还利用自动化营销工具来绕过垃圾邮件过滤器，确保网络钓鱼电子邮件到达目标。涉及的托管提供商包括 Quickpacket、Routerhosting 和 Hostwinds，BlueNoroff 利用它们来托管其恶意基础设施。

美国当局已经注意到朝鲜针对加密货币行业的网络活动。美国联邦调查局已向加密货币公司发出警告，警告他们 BlueNoroff 等朝鲜支持的组织构成的威胁不断升级。在最近的一份公告中，FBI 指出针对 DeFi 平台上的工作人员的网络钓鱼计划有所增加，黑客利用利润丰厚的工作机会或投资机会来欺骗受害者下载恶意软件。

BlueNoroff 在网络策略方面的不断发展凸显了加密货币行业面临的日益增长的风险。从复杂的社交媒体参与到直接网络钓鱼电子邮件的转变代表了对网络安全意识和之前执法打击的适应性反应。通过利用 MacOS 漏洞和劫持有效的开发人员凭据，朝鲜威胁行为者已经提高了渗透设备并以最少的检测提取敏感财务数据的能力。

网络安全专家建议业内的加密货币公司和个人加强其安全协议。检查意外的电子邮件附件、监控系统文件中未经授权的更改以及及时更新 macOS 等步骤可以缓解其中一些威胁。还鼓励公司定期进行安全审计，并教育其团队识别网络钓鱼计划。随着 BlueNoroff 持续关注加密领域，强大的网络安全实践对于保护数字资产免受日益先进的网络威胁至关重要。

以上是朝鲜网络间谍组织 BlueNoroff 升级对加密货币行业的攻击的详细内容。更多信息请关注PHP中文网其他相关文章！