【慢雾：朝鲜Lazarus定向对加密行业进行大规模APT攻击】

【慢雾：朝鲜Lazarus定向对加密行业进行大规模APT攻击】2023年09月12日04点10分老不正经报道，近日，慢雾联合合作伙伴发现朝鲜Lazarus团伙定向对加密货币行业进行的大规模APT攻击活动。攻击手法如下：首先进行身份伪装，通过实人认证骗过审核人员并成为真实客户，而后真实入金存款。在此客户身份掩护下，在之后多个官方人员和客户(攻击者)沟通时间点上针对性地对官方人员精准投放Mac或Windows定制木马，获得权限后进行内网横向移动，长久潜伏从而达到盗取资金的目的。目前慢雾已经与合作伙伴狩猎到攻击者使用的域名和木马样本。

【慢雾：CoinEx黑客或为朝鲜黑客团伙Lazarus Group，已关联到其他攻击事件】

【慢雾：CoinEx黑客或为朝鲜黑客团伙LazarusGroup，已关联到其他攻击事件】2023年09月13日06点30分老不正经报道，慢雾在分析过程中发现CoinEx黑客或为朝鲜黑客团伙LazarusGroup，具体关联如下：1.已知的AlphapoExploiter(TDrs…WVjr)通过TransitSwap将TRX兑换为ETH并跨链到地址(0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d)，故该地址在ETH链上也被标记为AlphapoExploiter。2.黑客地址0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d在ETH链上被标记为AlphapoExploiter，在BSC链上被标记为Stake.comExploiter，即该地址为共用地址3.0x75497999432B8701330fB68058bd21918C02Ac59在ARB和OP链上被标记为CoinExExploiter，在Polygon链上被标记为Stake.comExploiter，即该地址为共用地址因Stake.comExploiter已被FBI关联于朝鲜黑客团伙LazarusGroup，所以AlphapoExploiter，Stake.comExploiter和CoinExExploiter或都为朝鲜黑客团伙LazarusGroup。

【慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus】

【慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus】2023年07月26日08点45分7月26日消息，慢雾发推称，CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织LazarusGroup。慢雾表示，TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX，而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。

【慢雾CISO：朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】

【慢雾CISO：朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业】2023年09月15日03点40分9月15日消息，慢雾首席信息安全官23pds发文称，据创宇威胁情报团队反馈，朝鲜APT组织Konni利用WinRAR漏洞（CVE-2023-38831）首次攻击数字货币行业。朝鲜APT组织Lazarus早已将数字货币行业作为攻击目标，主要针对加密货币/金融相关行业的攻击。但是本次的攻击活动首次发现朝鲜除Lazarus组织外还有其余组织针对加密货币行业进行攻击活动。本次攻击活动中Konni使用近期Group-IB披露的WinRAR漏洞（CVE-2023-38831），这也是首次发现有APT组织利用此漏洞进行攻击。联想下最近从Stake被攻击，在到coinex等被攻击充分说明朝鲜黑客在披露大规模攻击加密货币交易平台等，用户需提高警惕。

【FBI证实Lazarus Group和APT38应对Harmony黑客攻击负责】

【FBI证实LazarusGroup和APT38应对Harmony黑客攻击负责】联邦调查局周一证实，Lazarus集团和APT38是去年6月对Harmony进行1亿美元攻击的幕后黑手，他们试图通过RAILGUN隐私协议来洗钱。LazarusGroup和APT38是与朝鲜有关的网络行为者，在6月24日报道的Harmony的Horizon桥上实施了1亿美元的虚拟货币盗窃。这次黑客攻击与一个名为"TraderTraitor"的恶意软件活动有关，该活动由朝鲜民主主义人民共和国领导。朝鲜利用从黑客中获得的资金来资助其弹道导弹和大规模杀伤性武器计划。去年4月，Lazarus集团与价值6亿美元的Ronin漏洞有关。

【报告：朝鲜黑客组织Lazarus Group可能是对Harmony Bridge攻击的幕后黑手】

【报告：朝鲜黑客组织LazarusGroup可能是对HarmonyBridge攻击的幕后黑手】根据区块链研究公司Elliptic的最新分析，一个据信受到国家资助的朝鲜黑客组织LazarusGroup可能是上周对HarmonyBridge攻击的幕后黑手。根据Elliptic的说法，攻击者在黑客攻击后将被盗资产转换为85,837ETH，并从6月27日开始，开始通过TornadoCash发送部分ETH，到目前为止，大约35,000ETH（占被盗资金总额的41%）已发送到TornadoCash。HarmonyBridge黑客事件与LazarusGroup的其他黑客事件一致，包括3月份价值6.35亿美元的RoninBridge黑客事件。Elliptic的分析还强调了HarmonyBridge黑客事件中指向LazarusGroup的其他因素，包括自动存入TornadoCash以模拟RoninBridge基金的程序化洗钱，以及盗窃的时间。