慢雾CISO：朝鲜APT组织Konni首次利用WinRAR漏洞攻击数字货币行业

金色财经报道，近日，慢雾联合合作伙伴发现朝鲜 Lazarus 团伙定向对加密货币行业进行的大规模 APT 攻击活动。攻击手法如下：首先进行身份伪装，通过实人认证骗过审核人员并成为真实客户，而后真实入金存款。在此客户身份掩护下，在之后多个官方人员和客户(攻击者)沟通时间点上针对性地对官方人员精准投放 Mac 或 Windows 定制木马，获得权限后进行内网横向移动，长久潜伏从而达到盗取资金的目的。目前慢雾已经与合作伙伴狩猎到攻击者使用的域名和木马样本。

金色财经报道，据慢雾首席信息安全官23pds在社交媒体上发文表示，国家资助的朝鲜黑客组织正在使用名为KANDYKORN的macOS恶意软件通过Discord 来攻击加密工程师。

金色财经报道，近期，慢雾安全团队发现有黑客组织利用Calendly的功能，使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序，用于安排会议和日程，通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过Calendly发送恶意链接与大多数受害者的日常工作背景很好地融合在一起，因此这些恶意链接不容易引起怀疑，受害者容易无意中点击恶意链接，在不知觉中下载并执行恶意代码，从而遭受损失。 慢雾安全团队提醒大家在使用Calendly的时候，如果发现界面上有链接，请注意识别链接的来源和域名，避免遭受攻击。可以在点击链接之前将鼠标移到文本上方，此时在浏览器的左下方会展示文本对应的链接地址，在点击之前请仔细核对好链接地址，避免访问到钓鱼链接。

金色财经报道，据慢雾首席信息安全官23pds发推称，WinRAR爆远程代码执行漏洞(CVE-2023-40477)，WinRAR压缩软件是一款解压缩软件，电脑装机所需的软件之一，攻击者引诱目标访问恶意页面或简单地打开恶意文件就可以利用此漏洞执行代码，一旦用户执行可能让黑客控制你的电脑。 加密货币用户注意升级， 同时注意现在出现所谓'WinRAR漏洞检测工具'也是恶意钓鱼程序，注意资金风险。

7月26日消息，慢雾发推称，CoinsPaid、Atomic 与 Alphapo 攻击者或均为朝鲜黑客组织 Lazarus Group。慢雾表示，TGGMvM 开头地址收到了与 Alphapo 事件有关 TJF7md 开头地址转入的近 1.2 亿枚 TRX，而 TGGMvM 开头地址在 7 月 22 日时还收到了通过 TNMW5i 开头和 TJ6k7a 开头地址转入的来自 Coinspaid 热钱包的资金。而 TNMW5i 开头地址则曾收到了来自 Atomic 攻击者使用地址的资金。

金色财经 报道，慢雾安全提醒，近期有攻击者利用 WordPress 插件漏洞攻击正常的站点，然后在站点中注入恶意的 js 代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行 Web3 钱包签名，从而盗取用户的资产。 建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及 Web3 签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。