摘要：网络安全公司 SecurityScorecard 报告称，曹县黑客在新一轮攻击活动中瞄准了软件供应链，针对的是寻找自由职业 Web3 和加密货币工作的开发人员。

网络安全公司 SecurityScorecard 报告称，曹县黑客在新一轮攻击活动中瞄准了软件供应链，针对的是寻找自由职业 Web3 和加密货币工作的开发人员。

该活动被称为“99 号行动”，被认为是臭名昭著的Lazarus集团所为，是之前观察到的“梦想工作行动”攻击的升级版，诱骗开发人员克隆恶意的 GitLab 存储库并感染他们的系统。

作为攻击的一部分，攻击者使用 LinkedIn 等流行平台上的虚假个人资料来向开发人员提供项目测试和代码审查机会，最终引导他们克隆恶意存储库。

克隆的代码连接到由“Stark Industries LLC”托管的攻击者的命令和控制 (C＆C) 服务器，以获取经过高度混淆的 Python 脚本，这些脚本旨在为每个受害者部署量身定制的有效载荷。

这些攻击中使用的多阶段恶意软件系统包括 Main99 和 Main5346 下载程序，它们会释放 Payload99/73、Brow99/73 和 MCLIP 等恶意软件来窃取文件并监视用户活动。

SecurityScorecard 指出：“这种模块化框架既灵活又危险。它可跨平台运行——Windows、macOS 和 Linux——以精准的方式嵌入开发人员工作流程。通过针对每个目标调整恶意软件，Lazarus Group 可确保以最少的检测实现最大的影响。 ”

动态调整的恶意软件允许攻击者持久访问受害者系统，因为植入物在执行后不会自行删除，并采用 65 层编码方案来保持隐藏。

Payload99/73 可以收集系统数据，例如设备信息、用户名、UUID，可以窃取文件、窃取剪贴板数据、终止浏览器进程并执行任意代码。

Brow99/73 可以从浏览器窃取凭证，并从 Windows 系统中提取 AES 密钥，访问 GNOME 密钥环以在 Linux 上解密浏览器，并使用 macOS 上的 Keychain 检索密码。

MCLIP 植入程序监控并窃取按键和剪贴板数据，并实时发送至 C&C。

“Operation 99 以欺骗为生。从拥有精美 LinkedIn 个人资料的虚假招聘人员到伪装成合法项目的恶意存储库，每个元素都旨在利用信任。”SecurityScorecard 表示。

该网络安全公司指出，此次活动的目标是通过供应链攻击来损害技术创造者的利益，从而导致中断以及知识产权、敏感信息和加密货币钱包密钥的盗窃。

SecurityScorecard 指出：“对于曹县来说，黑客攻击是一条创收生命线。Lazarus Group 一直在通过窃取加密货币来满足该政权的野心，积累了巨额资金。”

本周，美国、日本和韩国指责曹县黑客在 2024 年窃取了约6.6 亿美元的加密货币。根据 Chainalysis 12 月份的一份报告，与曹县有关的威胁组织去年在 47 次与加密货币相关的攻击中窃取了 13.4 亿美元。

Secureworks 周三发布的一份报告将曹县假冒 IT 工人计划与 2016 年的 IndieGoGo 众筹骗局联系起来，该骗局为曹县筹集了大约 20,000 美元。

Secureworks 指出：“与本文发表时曹县 IT 工作者的更复杂计划相比，2016 年的这项活动投入的努力较少，获得的金钱回报也较少。然而，它展示了曹县黑客组织尝试各种赚钱计划的早期例子。 ”

技术报告：

新闻链接：

来源：会杀毒的单反狗