LummaC2 窃密软件意外感染朝鲜黑客设备,揭露 Bybit 天价劫案幕后技术细节

一款常用于攻击普通用户的 LummaC2 信息窃取软件意外感染了一名朝鲜国家级黑客的设备,暴露了其与 Bybit 加密货币交易所 14 亿美元失窃案的直接关联、所使用的开发工具、基础设施配置以及操作安全上的失误。

LummaC2 感染朝鲜黑客设备,牵出 Bybit 天价劫案

一家朝鲜国家级威胁行为者,反被通常用于攻击他人的同类型恶意软件感染,从而罕见地暴露了其行动细节,并直接关联到有记录以来规模最大的加密货币盗窃案之一。这一次,攻守之势异也。

网络犯罪情报公司 Hudson Rock 在分析一份 LummaC2 信息窃取器的日志时发现了这次感染。这看似普通的感染事件结果却极不寻常。被入侵的机器属于一名在朝鲜国家关联的网络机构内运作的恶意软件开发人员。

关联 14 亿美元 Bybit 加密货币交易所漏洞

Hudson Rock 将这些数据与威胁情报公司 Silent Push 早前的发现进行了比对。两项调查都指向同一事实——这台被感染的机器曾被用于支持 14 亿美元 Bybit 加密货币劫案的基础设施搭建。 值得注意的是,2025 年 2 月针对 Bybit 加密货币交易所的数据泄露事件,长期以来一直被认为与朝鲜威胁行为者有关,普遍认为与 Lazarus 黑客组织存在联系。

根据 Hudson Rock 与 Hackread.com 分享的报告,最具说服力的细节之一来自在被感染设备上发现的凭证。其中包括一个电子邮箱地址 trevorgreer9312@gmail.com,Silent Push 在其调查中已经标记过该邮箱。 该邮箱曾被用来注册域名 bybit-assessment.com,该域名恰好在 Bybit 盗窃案发生前几小时被建立。其作用是伪装成交易所,为攻击背后的基础设施提供支持。

尽管被感染系统的用户可能并非盗窃案本身的直接责任人,但数据揭示了国家级行动的不同部分如何共享资产。开发设备、钓鱼域名、凭证集和通信基础设施都在共享渠道中流通。这台机器恰好是其中之一,暴露了通常隐藏在 VPN 和假身份背后的细节。

被入侵设备的规格与工具

取证数据说明了其自身的故事。被感染的设备是一套高端配置,运行第 12 代英特尔酷睿 i7 处理器,配备 16GB 内存,并装载了 Visual Studio Professional 2019 和 Enigma Protector 等开发工具。Enigma 常被用于封装可执行文件以躲避杀毒软件检测。这并非某个在地下室做实验的人,而是一个装备精良、用于制作恶意软件和管理基础设施的设备。

浏览器历史记录和应用程序数据揭示了更多信息。用户通过 Astrill VPN 将流量路由至一个美国 IP,但浏览器默认设置是简体中文,翻译历史记录中包含了直接的韩语查询。系统上还发现了 Slack、Telegram、Dropbox 和 BeeBEEP 的安装痕迹,这些都指向了内部通讯以及潜在的指挥与控制用途。特别是 Dropbox 的文件夹结构表明,被盗数据曾被上传以供后续访问。

Astrill VPN 与伪造的 Zoom 安装程序

值得注意的是,Hackread.com 于 2025 年 11 月的一篇文章(由网络安全研究员 Mauro Eldritch 撰写)曾报道,冒充西方 IT 职位求职者的朝鲜威胁行为者也使用 Astrill VPN 来隐藏其 IP 地址。

该系统还暴露了为钓鱼攻击所做的准备。攻击者购买了诸如 callapp.uscallservice.us 等域名,以及像 zoom.callapp.us 这样的子域名,用于诱骗目标下载虚假软件或更新。虚假 Zoom 安装程序的本地 IP 地址也追溯回这台相同的设备。

没有迹象表明该威胁行为者意识到自己已被入侵。这正是此事件如此不寻常之处。像 LummaC2 这样的信息窃取器通常被攻击者部署用于从普通用户那里窃取浏览器数据、凭证和钱包。 而在本例中,恶意软件产生了反效果,暴露了有记录以来最协调的加密货币盗窃案之一背后的部分基础设施。这为安全研究人员提供了一个难得的机会,来审视国家级威胁行为者是如何建立和运作其行动的。Hudson Rock 甚至构建了一个模拟器,复现了被入侵的机器,允许其他人自行检查软件、浏览器活动和被盗数据。

信息窃取器的首例,但非黑客曝光的首例

虽然这可能是第一例有记录的朝鲜黑客被信息窃取器感染的案例,但这并非该国黑客系统首次被入侵。2025 年 8 月,一群黑客公布了据称是一名朝鲜威胁行为者电脑上被盗的 9GB 数据。该泄露事件暴露了内部工具、日志、敏感文档以及似乎直接参与攻击性网络操作人员的文件。该事件为了解在朝鲜网络部门内工作的威胁行为者的日常工作环境提供了一个不寻常且宝贵的视角。

更早之前,在 2020 年 7 月,另一次罕见的入侵事件成为头条新闻,但这次涉及伊朗黑客。IBM 的 X-Force 发现了一个 40GB 的训练视频库,展示了伊朗操作员如何实时劫持电子邮件账户。视频逐步演示了凭证盗窃、账户接管以及维持访问权限的技巧。虽然目前尚不清楚完整视频是否曾被公开,但这些材料的存在让研究人员异常近距离地观察到了攻击者的方法和内部训练资源。

尽管如此,这种级别的错误并不常见。一旦发生,它们就打开了一扇通常不会长久敞开的窗口。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次