卡巴斯基全球研究和分析团队发现了一场由 Lazarus APT组织策划的复杂恶意活动，目标是全球加密货币投资者。

2024 年 5 月，卡巴斯基专家通过分析卡巴斯基安全网络遥测中的事件，发现了一次涉及 Manuscrypt 恶意软件的攻击，自 2013 年以来，Lazarus 已在各个行业的 50 多个有记录的活动中使用该恶意软件。

进一步的检查发现了一个复杂的恶意活动，该活动大量利用社会工程技术和生成式人工智能来利用加密货币投资者。

Lazarus 组织因其对加密货币平台的复杂攻击而臭名昭著，经常利用0day漏洞。新发现的活动也不例外，卡巴斯基研究人员发现了两个被利用的漏洞，包括谷歌 V8 JavaScript 和 WebAssembly 引擎中的一个未知类型混淆错误。

这个0day漏洞在被卡巴斯基报告后被修复，漏洞编号为 CVE-2024-4947，它允许执行任意代码，绕过安全功能和各种其他恶意活动。

另一个漏洞被用来绕过 Google Chrome 的 V8 沙盒保护。攻击者通过精心制作的虚假游戏网站利用这些漏洞，诱骗用户参与全球 NFT 坦克竞赛。

提供下载游戏测试版的恶意网站

为了提高该活动的可信度，他们付出了巨大的努力来建立信任，包括在 X（以前称为 Twitter）和 LinkedIn 等平台上创建社交媒体账户，并使用 AI 生成的图像进行宣传。

攻击者在 X 上的账户

Lazarus 还与加密货币影响者合作进一步推动该活动，旨在利用他们的社交媒体影响力来分发和直接瞄准他们的加密账户。

攻击者试图联系币圈有影响力的参与者

卡巴斯基全球研究和分析团队首席安全专家 Boris Larin 评论道：“虽然我们以前也见过 APT 攻击者追求经济利益，但这次活动却独一无二。攻击者超越了典型策略，利用功能齐全的游戏作为掩护，利用 Google Chrome 0day漏洞感染目标系统。”

“对于像 Lazarus 这样臭名昭著的攻击者来说，即使是看似无害的行为（例如点击社交网络或电子邮件中的链接）也可能导致个人电脑或整个公司网络的彻底入侵。在这次活动中投入的大量精力表明他们有一个雄心勃勃的计划，实际影响可能更为广泛，可能会影响全球用户和企业。”

卡巴斯基专家发现一款合法游戏似乎是攻击者版本的原型。在发起攻击后不久，真正的游戏开发者报告称，2 万美元的加密货币已从他们的钱包中转出。

假游戏的徽标和设计与原版游戏非常相似，徽标位置和视觉质量略有不同。

鉴于代码中的这些相似之处和重叠之处，卡巴斯基专家断言，Lazarus 成员采取了重大措施使他们的攻击合法化，他们使用窃取的源代码创建了一款假游戏，并修改了徽标和参考资料以加强其版本的真实性。

参考卡巴斯基官方博客：

https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/

新闻链接：

https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics