朝鮮 Lazarus 集團創建 NFT 遊戲來利用 Chrome 用戶

據 Berdnikov 和 Larin 稱，Lazarus Group 的黑客利用該遊戲誘騙用戶訪問惡意網站，並用其惡意軟件 Manuscript 感染計算機，該組織至少從 2013 年起就一直在使用該軟件。

該代碼允許黑客破壞 Chrome 的內存，最終使他們能夠訪問用戶的 cookie、身份驗證令牌、保存的密碼和瀏覽歷史記錄——竊取用戶資金所需的一切。

Javascript 安全機制 V8 沙箱的另一個問題允許 Lazarus 訪問 PC 來調查是否值得繼續進行網絡攻擊。

Berdnikov 和 Larin 表示：“我們能夠trac攻擊的第一階段，即在 Google Chrome 進程中執行遠程代碼的漏洞。”

“在確認該漏洞是基於針對最新版本 Google Chrome 的零日漏洞後，我們於當天向 Google 報告了我們的發現。”

谷歌意識到該漏洞兩天後，發佈了更新補丁來解決該問題。

被盜的源代碼用於創建遊戲

遊戲本身（DeTankZone 或 DeTankWar）是一款完全可玩的多人在線競技場遊戲，使用不可替代代幣 (NFT) 坦克。玩家可以在在線比賽中互相對戰。

Berdnikov 和 Larin 表示，Lazarus 竊取了另一款正版遊戲的源代碼，並在社交媒體上大力宣傳盜版版本。

該假遊戲有一個網站和使用人工智能生成的宣傳圖片。

“從表面上看，這個網站類似於一個爲去中心化金融（ DeFi ）基於 NFT（不可替代代幣）的多人在線競技場（MOBA）坦克遊戲專業設計的產品頁面，邀請用戶下載試用版，”Berdnikov 和拉林說。

“但這只是一種僞裝。在幕後，該網站有一個隱藏腳本，在用戶的 Google Chrome 瀏覽器中運行，啓動零日漏洞並讓攻擊者完全控制受害者的 PC。”

微軟安全部門還在 X 上的 5 月帖子中標記了該遊戲，指出惡意遊戲 DeTankWar 正在傳播新的自定義勒索軟件，微軟將其稱爲 FakePenny。

“微軟已經dent了一種新的朝鮮威脅行爲者 Moonstone Sleet (Storm-1789)，它將其他朝鮮威脅行爲者使用的許多經過驗證的技術與針對金融和網絡間諜目標的獨特攻擊方法相結合，”微軟安全說。

“據觀察，Moonstone Sleet 會建立虛假公司和工作機會來與潛在目標接觸，使用合法工具的木馬版本，創建名爲 DeTankWar 的惡意遊戲，並提供 Microsoft 命名爲 FakePenny 的新自定義勒索軟件。”

Lazarus Group 的損失估計超過 30 億美元

自 2009 年出現以來，Lazarus 無疑已成爲最臭名昭著的加密貨幣黑客組織。美國網絡安全公司 Recorded Future 在 2023 年估計，朝鮮黑客在 2023 年之前的六年裏竊取了超過 30 億美元的加密貨幣。

聯合國的一份報告還發現，在組織開始針對外國航空航天和國防公司的網絡後，朝鮮黑客在 2022 年竊取了大量加密資產，估計價值在 6.3 億美元至超過 10 億美元之間。

區塊鏈偵探 ZachXBT估計， Lazarus 在 2020 年至 2023 年間通過 25 次黑客攻擊，洗掉了超過 2 億美元的加密貨幣。在 8 月 15 日的 X 帖子中，他還聲稱發現了朝鮮開發者的複雜網絡的證據，該網絡每月賺取 50 萬美元，爲“建立的”加密項目。

與此同時，美國財政部還指責 Lazarus 是 2022 年 Ronin Bridge 攻擊背後的罪魁禍首，該攻擊使黑客獲得了超過 6 億美元的加密貨幣。