恶名昭彰的骇客组织Lazarus锁定Mac、Windows加密货币持有者

安全公司卡巴斯基(Kaspersky Lab)发现，与北朝鲜有关骇客组织Lazarus发动名为AppleJeus行动（Operation AppleJeus）的攻击，借由不明软件植入用户电脑，企图窃取macOS及Windows PC用户的加密货币及机密资讯。这也是Lazarus首次针对Mac电脑用户发动攻击。

卡巴斯基的全球研究与分析小组（GReAT）在调查亚洲一家加密货币交易平台时发现这项攻击。这家平台公司的员工遭到一封电子邮件诱骗到看似合法网站下载了第三方加密货币交易软件，进而感染木马程式Fallchill。研究人员拆解木马程式后循线追查到来源是Lazarus。

Lazarus是恶名昭彰骇客团体，被怀疑和北朝鲜政府有关。该组织自2014年活动以来作乱不断，被怀疑是入侵索尼影业、亚洲多国银行及制造业者网络、甚至被指为是WannaCry 蠕虫程式背后元凶。Lazarus之前也曾使用Fallchill来入侵金融机构。

卡巴斯基研究人员分析，该名员工下载的第三方加密货币交易软件Celas Trading Pro本身看起来是合法软件，但其中的更新器（updater）元件却有问题。这个元件执行勘察任务，先搜集受害机器基本资讯传送给外部C&C服务器，等攻击者判断受害机器是值得攻击的，之后才会下载其他攻击程式。FallChill就是由其更新器下载到用户电脑中，而在安装完成即开启一系列后门程式来绕过验证，让Lazarus最终得以接管用户电脑达到窃取资料，或是部署其他攻击行动，如窃取加密货币等。

研究人员发现，Celas Trading Pro具有Comodo CA签发的凭证，这让它更难为防毒软件侦测。事实上，追查这个软件公司时，从它介接的网络只接受比特币支付，研究人员认为这家公司十分可疑。

但更值得注意的是，为扩大受害者范围，FallChill除了Windows PC外，还会感染macOS平台，这可能是Lazarus这个团体首度使用macOS版恶意程式发动攻击，而这也是何以此次攻击被称为AppleJeus。研究人员相信不久后也会释出Linux平台版本。

研究人员警告，这件事对使用第三方软件的公司来说不啻一项警讯：千万不要让程式码在系统上自动执行，而一个专业的公司网站、漂亮的公司栏资料、以及数位凭证都不能保证其中没有后门程式。