Lazarus组织部署新型窃密软件OtterCookie,定向攻击加密行业
近日,网络安全公司慢雾(SlowMist)在X平台发布警告称,其收到情报显示,臭名昭著的朝鲜网络攻击组织 Lazarus APT(高级持续性威胁)正在针对加密货币及金融行业专业人士发动新一轮定向攻击。本轮攻击的核心工具是一种名为“OtterCookie”的新型窃密软件,其技术手段更为隐蔽,目标明确,危害性极高。
据慢雾介绍,OtterCookie 是一款专门用于信息窃取的恶意软件,具备绕过多重安全机制、模拟真实交互场景的能力。该组织利用伪装技术和社交工程手段,诱导受害者在不知情的情况下执行恶意代码,从而实现对其敏感数据的窃取。
攻击方式多为伪装与欺骗手段的结合。首先,攻击者通常假冒知名加密机构或金融公司,以“远程招聘”或“投资人会议”为名,主动联系目标。他们通过发送电子邮件、LinkedIn消息或Telegram邀请,引导受害者加入视频通话。特别值得警惕的是,Lazarus 甚至会使用深度伪造(Deepfake)技术,生成看似真实的“招聘经理”或“投资顾问”视频,以提升攻击的可信度。
在视频面试或远程交流中,攻击者往往会以“技能测试”或“技术评估”为由,向受害者发送一个看似无害的可执行文件。这些文件通常被标记为“编程挑战”、“技术任务”或“软件更新”,但实际上却暗藏OtterCookie恶意程序。一旦运行,软件会在后台收集包括浏览器登录凭据、macOS钥匙串中的密码与证书、加密钱包信息以及私钥等核心数据,并秘密传输至攻击者的服务器。
慢雾团队提出了一系列安全建议,以应对此类高风险攻击。首先,用户应对任何未经请求的工作机会或投资联系保持高度警觉,尤其是涉及远程面试和需下载文件的情境。其次,绝不可运行任何来源不明或未经验证的二进制文件,即便其形式和语气高度“正规”。增强端点检测与响应(EDR)系统的能力,配合杀毒软件和日志审计,是防范此类威胁的重要手段。
此外,定期对自身系统和设备进行安全性评估,更新安全补丁,并提高团队对社交工程攻击的识别意识,也已成为当前网络安全防御的基本要求。在信息日益透明化的加密行业背景下,任何微小的漏洞都可能成为攻击者的突破口。
总体而言,Lazarus 的这轮攻击行动显示出APT组织手法的不断演进,利用技术与心理战结合的方式,意在打击高价值目标并获取核心资产。对于加密从业者和金融科技公司而言,面对这种高智能化、定向性强的网络威胁,唯一的对策就是在信任之前,务必验证,并持续加强自身的安全防御体系。