• 發布單位:TWCERT/CC
• 更新日期:2022-01-18
• 點閱次數:2858

俄羅斯資安廠商 Kaspersky 旗下的研究人員，日前發現駭侵團體 BlueNoroff，近來針對世界各國的加密貨幣相關新創發動攻擊，竊取其加密貨幣資產。

Kaspersky 發現，BlueNoroff 的攻擊手法，是先設法入侵受害目標企業的人員通訊之中，以社交工程的手法，誘使目標下載含有惡意程式碼的檔案；該檔案中的惡意程式碼，會利用一個十分老舊的遠端遙控指令漏洞 CVE-2017-1099，來植入第一階段的惡意程式碼，之後駭侵者會再寄送一個假冒需以密碼開啟的檔案給受害者，內含第二階段的惡意程式碼，以在受害者電腦中植入後門。

Kaspersky 說，BlueNoroff 會先以數周時間觀察受害者的使用行為，並且收集用戶電腦上和加密貨幣相關的各種設定檔，以及觀察期間中的按鍵記錄，找出可趁之機。之後再以植入電腦中的惡意程式碼，替換掉如 MetaMask 這類瀏覽器外掛加密貨幣錢包的核心程式碼，以竊取受害者的加密貨幣資產。

BlueNoroff 的駭侵者，會假冒成許多知名加密貨幣相關企業的人員或合作伙伴，並且使用這些企業的商標，以降低目標對象的戒心。

Kaspersky 說，遭到 BlueNoroff 攻擊的加密貨幣新創公司受害者遍布世界各國，包括美國、俄羅斯、中國、印度、英國、烏克蘭、波蘭、捷克、阿拉伯聯合大公國、新加坡、愛沙尼亞、越南、馬爾他、德國、香港等。

資安專家表示，BlueNoroff 雖然過去就曾有多年活動記錄，但外界對其了解甚少；在這次攻擊活動中有明確跡象顯示，該駭侵團體極可能為 APT 團體 Lazarus 的外圍組織。