Lazarus 高级持续性威胁（APT） 利用 Chrome 浏览器的零日漏洞窃取加密货币

卡巴斯基全球研究与分析团队（GReAT）发现了一起由Lazarus高级持续性威胁（APT）组织发起的复杂恶意活动，该活动针对全球范围内的加密货币投资者。攻击者使用了一个伪造的加密货币游戏网站，该网站利用谷歌Chrome浏览器中的一个零日漏洞来安装间谍软件并窃取钱包凭证。这些发现于2024年在巴厘岛举行的安全分析师峰会上进行了展示。

2024年5月，卡巴斯基专家在分析卡巴斯基安全网络遥测数据时，发现了一起使用Manuscrypt恶意软件的攻击事件。自2013年以来，Lazarus组织一直在使用这种恶意软件，卡巴斯基GReAT已记录了超过50次利用这种恶意软件的针对不同行业的独特攻击活动。进一步分析显示，这是一起高度依赖社会工程技术和生成式AI的复杂恶意活动，攻击目标为加密货币投资者。

Lazarus组织以其对加密货币平台的高级攻击而闻名，并且有使用零日漏洞的历史。此次新发现的攻击活动也遵循了同样的模式：卡巴斯基研究人员发现，攻击者利用了两个漏洞，其中包括V8（谷歌的开源JavaScript和WebAssembly引擎）中的一个先前未知的类型混淆漏洞。卡巴斯基将此零日漏洞上报给谷歌之后，已经得到了修复，漏洞编号为CVE-2024-4947。它允许攻击者执行任意代码、绕过安全功能并进行各种恶意活动。另一个漏洞则被用于绕过谷歌Chrome的V8沙盒保护。

攻击者通过一个精心设计的假冒游戏网站利用了这一漏洞，该网站邀请用户在全球范围内使用NFT坦克进行比赛。他们注重建立信任感，以最大限度地提高活动效果，并设计细节，使推广活动看起来尽可能真实。这包括在X（前身为Twitter）和LinkedIn上创建社交媒体账户，在几个月内推广游戏，并使用AI生成的图像来增强可信度。Lazarus成功地将生成式AI整合到他们的操作中，卡巴斯基专家预计攻击者将利用这项技术设计出更加复杂的攻击。

攻击者还试图让加密货币网红参与进一步的宣传，利用他们在社交媒体上的影响力，不仅散布威胁，还直接攻击他们的加密货币账户。

“尽管我们之前已经看到APT行为者追求经济利益，但这次活动是独特的。攻击者超越了典型的战术，使用一个功能齐全的游戏作为掩护，利用谷歌Chrome的零日漏洞感染目标系统。对于像 Lazarus 这样声名狼藉的攻击者来说，即使是看似无害的行为，如点击社交网络或电子邮件中的链接，也可能导致个人计算机或整个企业网络的彻底被入侵。他们在这次活动中投入了大量精力，表明他们有着雄心勃勃的计划，实际影响可能更为广泛，可能会影响全球用户和企业，”卡巴斯基全球研究与分析团队（GReAT）首席安全专家Boris Larin评论说。

卡巴斯基专家发现一款合法游戏似乎是攻击者使用版本的原型。在攻击者发起游戏推广活动后不久，真正的游戏开发者声称他们加密货币钱包中的 2 万美元加密货币被转移。假冒游戏的标志和设计与原版非常相似，仅在标志位置和视觉质量上有所不同。鉴于这些相似之处和代码中的重叠，卡巴斯基专家强调，Lazarus的成员不遗余力地为他们的攻击增添可信度。他们使用被盗的源代码创建了一个假冒的游戏，替换了所有合法游戏的标志和引用，让这个几乎一摸一样的游戏看上去尽量真实。

在巴厘岛举行的安全分析师峰会上介绍了该恶意活动的详细情况，完整报告请参见Securelist.com。

关于全球研究与分析团队

全球研究与分析团队（GReAT）成立于 2008 年，是卡巴斯基的核心部门，负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前，GReAT 由 40 多名专家组成，他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用，他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.