慢霧餘弦：確認CEX盜竊事件是由北韓駭客組織Lazarus Group攻擊，其攻擊手法已被揭露

SlowMist創始人余弦在社交媒體上發文表示，通過證據分析和關聯追蹤，我們已確認CEX盜竊事件的攻擊者確實是北韓黑客組織Lazarus Group。這是一場針對加密貨幣交易平台的國家級APT攻擊。我們決定分享相關的IOC（入侵指標），其中包括一些被利用的雲服務提供商和代理的IP。需要注意的是，此次披露並未具體說明涉及哪些平台，也未提及CEX；如果有相似之處，也不是不可能的。

攻擊者使用pyyaml進行RCE（遠程代碼執行）來傳遞惡意代碼，從而控制目標計算機和服務器。這種方法繞過了大多數防病毒軟件的掃描。在與合作夥伴同步情報後，獲得了多個類似的惡意樣本。攻擊者的主要目標是通過入侵加密貨幣交易平台的基礎設施來控制錢包，然後非法轉移這些錢包中的大量加密資產。

SlowMist發表了一篇總結文章，揭示了Lazarus Group的攻擊方法，並分析了他們使用的社交工程、漏洞利用、權限提升、內網滲透和資金轉移等戰術。同時，基於實際案例，他們總結了針對APT攻擊的防禦建議，希望為行業提供參考，幫助更多組織提升安全防護能力，減少潛在威脅影響。