主页 > imtoken1.0钱包下载 > 货币警告! OKEX等数字资产交易平台成为国家级APT黑客组织的目标
货币警告! OKEX等数字资产交易平台成为国家级APT黑客组织的目标
【导读】某安全实验室与DrangonEx取得联系,分析确认DrangonEx交易所遭到黑客组织攻击。 经360安全大脑进一步追踪追查发现,这是国家级黑客组织APT-C-26(Lazarus音译“拉撒路”)针对OKEX等知名数字货币交易所发起的攻击。
近期,币市回暖,主流币普遍上涨,数字货币交易所被盗案件频发。 3月24日凌晨,新加坡数字货币交易平台DragonEx遭到黑客攻击,导致用户及平台数字资产被盗。 初步估计,平台受损资产总额超过4000万元。
同时,经360安全大脑深度追踪追查发现,近期火爆的OKEX平台也遭到了同一个国家级黑客组织的入侵。
DragonEx是新加坡的数字货币交易平台。 上线时会发行Dragon Token(DT)。 因其独特的挖矿和分红模式,迅速发展成为全球前20的交易平台。
据悉,此次DragonEx交易所共有BTC、ETH、EOS等20余种主流数字货币资产被盗,平台将暂停交易充提等基础服务。 这是DragonEx交易所成立以来第一起交易所被盗事件,也是继BiKi、Cryptopia、Etbox等交易所后又一起交易所被盗事件。
(DragonEx交易所发布官方公告)
交易所经常丢币
门头沟悬案记忆特别深刻
早在去年8月,DragonEx的在线交易平台就被发现存在多个安全漏洞,可被攻击者利用获取用户信息。 但DragonEx随后予以否认,称平台机制完善,不存在安全漏洞。
然而,除了 DragonEx 丢币外,多年来交易所也被盗。 其中,最让人难忘的大概是币圈最大的谜团Mt.GOX(门头沟),曾经是币圈最大的交易所,85万个比特币消失了(换算成现在市值2.7万,总价值为233亿元)。 该事件震惊了整个数字货币社区,削弱了人们对比特币安全性的信心,导致比特币价格暴跌,一个月跌幅高达36%。
2014年2月14日情人节那天,天空下着大雪,一名中年男子在办公楼前举着牌子抗议。 他手里的牌子上写着“门头沟,我们的钱在哪里(MT.Gox,我们的钱在哪里)”。
分析DroganEx事件的攻击过程,
全球知名数字交易所OKEX等受牵连
此前,有安全实验室联系DrangonEx,分析确认DrangonEx交易所遭到黑客组织攻击:
经360安全大脑进一步追踪追查发现,这是国家级黑客组织APT-C-26(Lazarus音译“拉撒路”)针对OKEX等知名数字货币交易所发起的攻击。 以下是360安全大脑对Lazarus攻击过程的详细分析:
攻击过程分析
2018年10月,该团伙注册了wb-invest.net和wb-bot.org两个域名,开始准备攻击。
根据开源“Qt Bitcoin Trader”软件修改并添加恶意代码,改造为名为“Worldbit-bot”的自动交易软件。
然后利用之前注册的域名冒充正规数字货币自动交易软件的官网,运营了半年。
最后一次闭网攻击疑似发生在2019年1月和2019年3月,该组织向大量交易所官员推荐该软件进行钓鱼攻击,最终导致相关人员被招募,数字货币被盗事件进一步发生。
恶意代码分析
该组织去年实施的“Worldbit-bot”软件与“Celas Trade Pro”攻击在主要功能上没有太大区别,属于同一攻击框架。
1.收集系统信息并加密传输
2.收集系统相关信息
3、下载并执行下一阶段的payloadbtc正规交易平台,解密成文件执行
相关性分析 “Worldbit-bot”和“CelasTrade Pro”的代码结构基本相同,只是参数和部分密钥发生了变化。
1.启动参数有变化
“Worldbit-bot”版本“Celas Trade Pro”版本
2、通信加密的异或密钥发生变化
“Worldbit-bot”加密方式
“Celas Trade Pro”加密方式
3.请求模板字符串变化
“Worldbit-bot”版本字符串
“Celas Trade Pro”版本字符串
4.命令与命令更改
C&C 的“Worldbit-bot”版本
C&C的“Celas Trade Pro”版本
5.下载数据时使用的RC4密钥发生了变化
“Worldbit-bot”版本“Celas Trade Pro”版本
6.加载下载存储位置发生变化
“Worldbit-bot”版本“Celas Trade Pro”版本
关于拉撒路组织:
APT-C-26(Lazarus音译“Lazarus”)是一个自2009年开始活跃的APT组织,这是继去年360发现Lazarus组织的“Celas Trade Pro”攻击目标后,Lazarus组织的又一次主动攻击数字加密货币。 值得注意的是,该组织的攻击目标不断扩大,越来越以经济利益为目标,正在对多家大型数字货币交易所进行攻击渗透。
Lazarus组织攻击金融等行业的重大事件:
交易所自查:
国际奥委会
MD5
3efeccfc6daf0bf99dcb36f247364052
8b4c532f10603a8e199aa4281384764e
b63e8d4277b190e2e3f5236f07f89eee
领域
wb-invest.net
wb-bot.org
国际安全智库
建议各大数字交易所和用户采取以下防御措施:
1、建议交易所加大安全投入,加大安全风控力度;
2、及时关注服务器异常、端口异常开启、配置修改等;
3、及时了解兑换收入异常、找零异常、冷钱包、温钱包、热钱包地址被篡改等信息;
4.交易所大额充值预警,提现多账户登录,提供热钱包;
5、经常对账,及时发现账户异常,对账异常后及时关闭赎回和提现止损。
6、系统预警时,可自动拦截提币,需人工确认后方可进行。
对此类事件更深入的分析,请关注国际安全智库的后续报道,提醒数字货币交易所和个人用户提高安全意识,采取必要的安全策略保护自己btc正规交易平台,不要轻松信任第三方用户。