• 發布單位:TWCERT/CC
• 更新日期:2022-08-11
• 點閱次數:6134

資安廠商 Malwarebyte 近日發現著名的 APT 駭侵團體 Lazarus，最近假冒知名加密貨幣交易所 Coinbase 之名，在求職社群網站 LinkedIn 上對加密貨幣專家傳送假的工作機會，藉以發動攻擊。

Malwarebyte 旗下的資安專家 Hossein Jazi 日前在推特上發文，指出 APT 駭侵團體 Lazarus，自本（2022）年 2 月起，開始在 LinkedIn 上假冒為全球最大級加密貨幣交易所 Coinbase，鎖定多名加密貨幣專家，對其發送假的工作機會。

駭侵者貼出的假職缺為 Coinbase 產品安全部門（Product Security）的工程經理（Engineering Manager），並且在職務說明中放置一個看似是 PDF 文件檔，但實際上是個含有惡意軟體的 Windows 可執行檔；用戶打開這個檔案，會開啟一個看起來很像是 PDF 文件檢閱工具的視窗，其中顯示該職缺的說明，但實際上會執行惡意程式碼。

資安專家指出，Lazarus 駭侵團體過去有多次針對金融機構與加密貨幣相關單位的駭侵攻擊記錄；近年來包括諸多用戶的加密貨幣錢包、多家交易所、NFT 交易市場等，都曾有遭到 Lazarus 駭侵攻擊的記錄。

今年 7 月時 Lazurus 亦曾透過與本次類似的手法，針對熱門 NFT 遊戲 Axie Infinity 公司的工程師發送假的工作機會邀約，實則透過惡意軟體入侵工程師使用的裝置，進而竊走高達 6.17 億美元的以太幣與 USDC 代幣。

Malwarebyte 研判，Lazarus 這次假冒 Coinbase 發送假職缺的攻擊活動，很有可能是重施攻擊 Axie Infinty 的故技，意圖藉此駭入更多加密貨幣相關產業的電腦系統，藉以竊取更多加密資幣資產。

建議在金融與加密貨幣相關產業的工作人員，應對各種不明連結和檔案提高警覺，避免因點擊或開啟不明連結與檔案，讓駭侵者趁機駭入公司系統內，造成重大損失。