與朝鮮有關的黑客組織Lazarus Group已經調整了其戰術，目標鎖定加密貨幣行業的求職者，特別是在中心化金融（CeFi）領域，採用一種名爲'ClickFix'的方法。這種新方法是他們之前'Contagious Interview'活動的改進版，現在側重於市場營銷和業務發展等非技術崗位，以僞裝成主要的加密貨幣公司。該組織創建虛假的職位申請門戶，以吸引候選人，誘使他們在假裝進行故障排除的情況下運行PowerShell命令，從而下載惡意軟件。這一戰術利用了加密行業求職者的職業抱負。此外，聯邦調查局（FBI）已將對Bybit的價值15億美元的攻擊歸咎於Lazarus，該攻擊中使用虛假工作邀請在員工電腦上安裝惡意軟件。

SEKOIA

最近，Sekoia發佈的網絡安全報告揭示了與朝鮮相關的臭名昭著黑客組織Lazarus Group所帶來的不斷演變的威脅。該組織現在正在利用一種被稱爲“ClickFix”的戰術，專門針對加密貨幣行業的求職者，尤其是集中金融（CeFi）領域。這種方法標誌着該組織早期以“Contagious Interview”爲主題的活動的調整，後者之前主要針對人工智能和加密相關職位的開發者和工程師。<h2>Lazarus利用加密招聘</h2>在新觀察到的活動中，Lazarus將重點轉向非技術專業人士，例如市場營銷和商業發展人員，僞裝成主要的加密公司，如Coinbase、KuCoin、Kraken，甚至穩定幣發行商Tether。攻擊者建立僞造的網站，模仿求職申請門戶，並通過虛假的面試邀請吸引候選人。這些網站通常包含逼真的申請表格，甚至要求進行視頻介紹，從而營造出一種合法性。然而，當用戶嘗試錄製視頻時，他們會看到一個虛構的錯誤信息，通常暗示網絡攝像頭或驅動程序故障。頁面隨後提示用戶在故障排除的幌子下運行PowerShell命令，從而觸發惡意軟件的下載。儘管這種ClickFix方法相對較新，但由於其心理上的簡單性，正變得越來越普遍——因爲用戶認爲自己是在解決技術問題，而不是在執行惡意代碼。根據Sekoia的說法，該活動借用了184個虛假面試邀請的材料，參考了至少14家知名公司，以增強可信度。因此，最新的戰術展示了Lazarus在社會工程學方面日益增長的複雜性，以及其利用競爭激烈的加密招聘市場中個人職業抱負的能力。有趣的是，這一轉變也暗示該組織正在擴展其目標標準，不僅瞄準那些有代碼或基礎設施訪問權限的人，還包括那些可能處理敏感內部數據或無意中促成安全漏洞的人。儘管出現了ClickFix，Sekoia報告稱，原始的Contagious Interview活動仍在進行中。這種策略的並行部署表明，北朝鮮的國家資助集體可能正在測試它們的相對有效性或針對不同目標人羣調整戰術。在這兩種情況下，這些活動都有一個一致的目標——通過可信渠道傳遞竊取信息的惡意軟件，並操縱受害者自我感染。<h2>Lazarus與Bybit黑客事件</h2>聯邦調查局(FBI)正式將對Bybit的15億美元攻擊歸因於Lazarus Group。針對該加密貨幣交易所的黑客利用虛假的工作機會欺騙員工安裝名爲“TraderTraitor”的受污染交易軟件。儘管這些應用程序通過跨平臺的JavaScript和Node.js開發看起來很真實，但它們嵌入了旨在竊取私鑰並在區塊鏈上執行非法交易的惡意軟件。

Lazarus Group 針對 CeFi 求職者發佈 'ClickFix' 惡意軟件