核心主题
朝鲜 Lazarus 组织针对全球加密货币行业及开发者发起的供应链攻击与数据窃取行动,通过多层代理基础设施实现隐蔽指挥与控制(C2),并利用定制化网络管理平台集中操控攻击流程。
关键攻击手段
- 供应链攻击
- 篡改合法软件包(如加密货币应用、身份验证工具),植入混淆后门,诱导开发者执行恶意代码。
- 全球受害者达 233人(2025年1月最新数据),印度、巴西为重灾区。
- 隐蔽管理平台
- C2服务器部署基于 React+Node.js 的隐藏管理面板,通过端口1245/1224实现:
- 外泄数据分类管理(含密码、URL、设备名等)
- 实时监控受控系统
- 使用 Astrill VPN 和俄罗斯代理(如SkyFreight Limited)掩盖真实IP。
- C2服务器部署基于 React+Node.js 的隐藏管理面板,通过端口1245/1224实现:
基础设施与归因
- 多层流量混淆路径
朝鲜IP → Astrill VPN → 俄罗斯代理(如83.234.227.49-53) → C2服务器(如94.131.9.32)- 关键IP段:
175.45.176.0/22(朝鲜唯一公网地址) - 代理服务商:Oculus Proxy(俄罗斯注册)
- 关键IP段:
- 数据外泄模式
- C2服务器通过 Dropbox IP 传输窃取数据,连接时长超5小时(2024年12月案例)。
- 高置信度归因
- 流量时序分析直接关联朝鲜IP(如175.45.178.130)与攻击活动。
完整报告地址:https://securityscorecard.com/wp-content/uploads/2025/01/Operation-Phantom-Circuit-Report_012725_03.pdf
-390x220.png)
