拉撒路集团是谁？数十亿美元抢劫背后的黑客

诈骗与黑客

关键要点

• Lazarus是朝鲜国家支持的黑客团队，负责实施价值数十亿美元的网络抢劫。他们的业务为该国的导弹和核计划提供资金。
• Lazarus利用定制恶意软件、零日漏洞和鱼叉式网络钓鱼攻击金融机构、加密货币交易所和政府机构。
• 其中著名的攻击包括2025年15亿美元的Bybit黑客事件、2022年6.25亿美元的Ronin Bridge攻击以及2016年1.01亿美元的孟加拉国中央银行盗窃案。
• 该组织使用误导、后门、反取证技术和擦除器来隐藏其踪迹并保持对受感染网络的长期访问。

2025年2月21日的Bybit加密货币攻击再次将臭名昭著的拉撒路集团推上了风口浪尖，他们被“归功于”对加密货币企业一系列毁灭性的攻击。据区块链分析公司Elliptic称，自2017年以来，拉撒路集团已经从加密行业窃取了大约60亿美元，难怪他们被冠以“加密界超级恶棍”的称号。

作为历史上最活跃的网络犯罪组织之一，拉撒路集团采用先进的黑客手法，并且常常有白领前线人员配合行动，这表明他们得到了国家级的全面支持。

这引发了人们对拉撒路集团的深刻疑问，包括他们如何执行复杂的Bybit攻击以及其他类似的黑客行动，以及加密货币组织如何抵御这一日益增长的威胁。本文将深入探讨这些问题及更多内容。

Lazarus集团的起源和背景

Lazarus 是来自朝鲜民主主义人民共和国（DPRK，朝鲜）的威胁行为者，以网络间谍和非法敛财活动而臭名昭著。

自2009年以来，该组织就活跃在网络空间，与朝鲜政府的侦察总局（RGB）——该国主要情报机构有关联。作为一个高级持续性威胁组织（APT），他们以在全球范围内针对金融机构、加密货币交易所、SWIFT系统端点、赌场和ATM机发动复杂的跨平台攻击而闻名。

该组织与朝鲜情报机构的联系表明，他们受到国家的庇护。这意味着他们可以无视当地执法部门的干预，继续从事非法活动。他们的行动不仅仅是为了获取情报，还旨在为国家的导弹和核武器计划筹集资金。

美国联邦调查局（FBI）将拉撒路集团称为“由朝鲜政府支持的黑客组织”。朝鲜叛逃者金国松透露，该单位在朝鲜内部被称为414联络办公室。

多年来，拉撒路集团显著提升了其战术的复杂性、效率以及活动规模。

你知道吗？

微软威胁情报部门曾识别出一个名为“Sapphire Sleet”（蓝宝石冰雹）的黑客团队，作为与朝鲜有关的威胁组织，深度参与了加密货币盗窃和企业渗透。‘Sleet’（冰雹）一词象征着该组织的朝鲜背景。

Lazarus 集团如何运作？

由于国家的赞助，Lazarus 拥有执行复杂网络攻击所需的资源和专业知识。他们执行多层次的行动，包括开发和部署定制恶意软件，以及利用零日漏洞。“零日漏洞”指的是软件或硬件中开发者尚未知晓的安全漏洞，这意味着没有任何补丁或防御措施可用。

拉撒路集团的标志性特点之一，是创建专门定制的恶意软件，例如MagicRAT和QuiteRAT，专门用来渗透和控制目标系统。他们还擅长利用之前未知的安全漏洞，在修补措施发布前率先攻破系统。

社会工程学也是他们策略中的关键组成部分。这涉及到黑客利用人类情感，诱骗用户执行特定操作，比如泄露关键数据。拉撒路集团经常发起鱼叉式网络钓鱼攻击，发送伪造邮件给毫无戒备的目标，冒充合法网络诱导目标泄露机密信息。

他们的适应性和不断进化的技术，使得拉撒路集团成为全球网络安全领域中一个持续存在且极具威胁的对手。

Lazarus集团的顶级抢劫案

多年来，发生了一系列涉及 Lazarus 组织的网络攻击。以下是该团伙实施的一些重大抢劫案：

拉撒路集团的重大盗窃案

1.Bybit（2025年2月）

Bybit，一家总部位于迪拜的加密货币交易所， 遭遇大规模安全漏洞2025 年 2 月，损失了 15 亿美元的数字资产，成为迄今为止最严重的加密货币盗窃案。

此次攻击针对的是 Bybit 高管用来执行欺诈交易的 SafeWallet 接口。被盗资金主要是以太币，很快就分散到多个钱包中， 通过不同平台进行清算。 Bybit首席执行官周本向用户保证，其他冷钱包仍然安全，提款也正常进行。

包括 Elliptic 和 Arkham Intelligence 在内的区块链分析公司追踪了被盗资产，后来将这次攻击归咎于朝鲜国家支持的 Lazarus Group。此次违规事件引发了Bybit的一波提款潮，促使该交易所获得过桥贷款以弥补损失。

2.WazirX（2024 年 7 月）

2024年7月，印度最大的加密货币交易所WazirX遭遇重大安全漏洞，损失约2.349亿美元数字资产。此次攻击被归咎于朝鲜的Lazarus，涉及复杂的网络钓鱼技术和API漏洞利用。

黑客操纵了WazirX的多重签名钱包系统，获得了对冷热钱包的未经授权访问。这次入侵导致交易活动暂停，还引发了法律纠纷，包括竞争对手CoinSwitch提起的一场试图追回965万美元资金的诉讼。

2025年1月，新加坡高等法院批准了WazirX的重组计划，允许公司与债权人磋商资产回收策略。

3.Stake.com（2023 年 9 月）

2023年9月，Lazarus入侵了加密货币博彩平台Stake.com，通过窃取和利用私钥，成功盗走了4100万美元，涉及多个区块链网络。

美国FBI确认该盗窃案由Lazarus执行，他们追踪到了被盗资金流向，以太坊、BNB智能链和Polygon网络上都有踪迹。

4.CoinEx（2023年9月）

2023年9月，全球加密货币交易所CoinEx报告称发生了未经授权的交易，损失估计为5400万美元。

区块链分析师ZachXBT的调查显示，此次攻击与Stake.com攻击有相似的钱包模式和链上行为，表明这是Lazarus策划的协同攻击行动。

5.CoinsPaid 和 Alphapo（2023 年 7 月）

2023年7月22日，CoinsPaid遭遇精心策划的网络攻击，损失3730万美元。黑客在几个月前就开始实施贿赂和假招聘活动，瞄准公司关键人员。

在攻击期间，网络活动异常激增，涉及超过15万个不同的IP地址。尽管遭受重大财务损失，CoinsPaid的内部团队迅速加固系统，确保客户资金未受影响并可正常使用。

同一天，Alphapo，一个为多个在线平台提供服务的中心化加密支付提供商，也在7月23日遭遇安全漏洞。最初报告估计损失约2300万美元，但后续调查揭示，实际被盗金额超过6000万美元。区块链分析人员将此次攻击归咎于Lazarus，指出被盗资金流经多个地址和区块链网络。

6.Harmony Horizon Bridge（2022年6月）

2022年6月，Lazarus利用Harmony Horizon Bridge的漏洞实施攻击。通过社交工程手段攻破多签钱包系统，盗取了大约1亿美元，这突显了跨链桥的安全风险（用于在以太坊、比特币和BNB智能链等网络之间转移资产）。

攻击者利用安全薄弱点，掌控了用于授权交易的多签钱包。此漏洞让他们能够转走价值1亿美元的各种加密货币。被盗资产通过Tornado Cash混币器清洗，进一步增加追踪难度。Elliptic是最早将此次攻击归因于Lazarus的公司之一，该评估后来在2023年1月得到了FBI的确认。

7.Ronin Bridge（2022年3月）

2022年3月，支持Axie Infinity游戏的Ronin Bridge遭到重大攻击，拉撒路集团盗走了大约6.25亿美元的加密货币。

Ronin网络设有九个验证节点，至少需要五个签名才能授权交易。攻击者成功获取了五个私钥，得以批准未经授权的提款。

黑客利用一份带有恶意软件的伪造工作邀请PDF，诱骗Sky Mavis公司员工打开，进而入侵公司内部系统。这让攻击者在网络内横向移动，最终控制了由Sky Mavis管理的四个验证节点以及由Axie DAO（去中心化自治组织）管理的额外一个节点。

Lazarus结合社会工程与技术实力，成功实施了Ronin Bridge攻击。

8.Atomic Wallet（2022）

在2022年期间，去中心化加密货币存储应用Atomic Wallet的用户接连成为Lazarus攻击的受害者。

黑客部署了定制恶意软件，入侵个人钱包，造成损失估计在3500万至1亿美元之间。Elliptic通过追踪被盗资金流向，确认此次攻击与Lazarus以往的行动模式高度一致。

9.Bithumb交易所（2017年7月）

2017年7月，Lazarus对韩国最大的加密货币交易所之一Bithumb发动了鱼叉式网络钓鱼攻击。

他们成功渗透了Bithumb的内部系统，窃取了大约700万美元的加密货币。这次事件成为该组织早期在加密行业中的一次引人注目的入侵案例。

10.Youbit交易所（2017年4月和12月）

2017年，Lazarus两次重创了韩国的Youbit交易所。第一次攻击发生在4月，黑客使用恶意软件和网络钓鱼手段攻破交易所，导致巨额资产损失。

第二次攻击发生在12月，造成Youbit交易所17%的总资产被盗。这两次连续打击让交易所最终被迫宣布破产，凸显了Lazarus的网络攻击给数字资产平台带来的毁灭性影响。

其他重大抢劫案

1. WannaCry（2017 年 5 月）

WannaCry勒索软件攻击是一次波及全球的大规模网络安全事件。2017年5月12日，WannaCry勒索蠕虫感染了150多个国家超过20万台计算机。主要受害者包括FedEx、本田、日产，以及英国国家医疗服务系统（NHS），NHS因系统瘫痪不得不改道救护车。

一位安全研究人员发现了“关闭开关”，暂时阻止了攻击。但许多系统仍然被锁定，受害者要么支付赎金，要么设法恢复数据。WannaCry利用了名为“EternalBlue”的漏洞，这个漏洞最初由美国国家安全局（NSA）开发。

该漏洞后来被黑客组织Shadow Brokers窃取并泄露。WannaCry主要针对旧版、未打补丁的Microsoft Windows系统，导致其迅速传播并造成大规模破坏。这次攻击突显了定期软件更新和网络安全意识的重要性。

2.孟加拉国银行（2016年2月）

2016年2月，孟加拉国中央银行遭遇重大网络盗窃，黑客试图从其在纽约联邦储备银行的账户中窃取近10亿美元。后来确认，Lazarus集团是幕后黑手。

黑客在2015年1月通过带有恶意附件的电子邮件渗透银行系统，观察银行操作，最终通过SWIFT网络发起了35笔欺诈性转账请求。

虽然大多数转账被拦截，但仍有五笔成功，导致总计1.01亿美元被盗，其中8100万美元流入菲律宾账户。一笔转账中的拼写错误引发了怀疑，阻止了完整的劫掠计划。

虽然大多数交易被封锁，但仍有 5 笔交易成功，总金额达 1.01 亿美元，其中 8100 万美元到达菲律宾账户。一份转账请求中的一个印刷错误引起了怀疑，阻止了全面的抢劫。

3.索尼影业（2014年11月）

2014年11月，索尼影业娱乐公司遭到“和平守护者”（Guardians of Peace）发动的重大网络攻击，该组织与Lazarus集团有关联。

黑客入侵了索尼的网络，窃取了大量机密数据，包括未上映的电影、敏感员工信息和内部通信记录。

该组织还部署了恶意软件，导致约70%的索尼电脑瘫痪。此次入侵造成的财务损失相当惨重，索尼报告的损失约为1500万美元，但其他估算表明恢复成本可能超过8500万美元。

此次攻击的动机是报复索尼计划上映的电影《刺杀金正恩》（The Interview），这部喜剧片描绘了刺杀朝鲜领导人金正恩的情节。

尽管朝鲜否认参与，美国政府仍正式将此次攻击归咎于Lazarus集团，突显了该组织执行复杂网络行动的能力以及由此带来的重大地缘政治影响。

你可知道？ 2024 年 8 月，ZachXBT 透露，21 名朝鲜开发商已渗透到加密初创公司，每月收入 50 万美元。

FBI 确定了重大网络攻击背后的主要 Lazarus Group 黑客

FBI已公开确认三名涉嫌Lazarus集团成员的北朝鲜黑客身份。

2018年9月，FBI指控北朝鲜国民Park Jin Hyok，他与Lazarus集团有关联，被指控参与多次重大网络攻击。Park据称曾在朝鲜的前线公司Chosun Expo Joint Venture工作，该公司是Lazarus集团的掩护实体。他与2014年的索尼影业攻击和2016年孟加拉国中央银行盗窃案（盗取8100万美元）有直接关联。

FBI还指控Park参与了2017年WannaCry 2.0勒索软件攻击，该攻击严重干扰了包括英国NHS在内的医院运作。调查人员通过相似的恶意代码、被盗凭证存储方式以及掩盖朝鲜与中国IP地址的代理服务追踪到了他的身份。

2021年2月，美国司法部还起诉了Jon Chang Hyok和Kim Il，指控他们参与全球网络犯罪活动。Jon负责开发和传播恶意加密货币应用程序，用于渗透金融机构；Kim则负责协调恶意软件传播、加密货币盗窃以及虚假的Marine Chain首次代币发行（ICO）诈骗项目。

这些指控揭示了Lazarus集团内部的运作模式，以及他们如何利用技术与社会工程手段实现大规模网络犯罪。

Lazarus Group 使用的常见策略

Lazarus 集团采用多种复杂的策略来实施网络攻击，包括破坏、误导、反取证和保护技术：

破坏

Lazarus集团利用分布式拒绝服务攻击（DDoS）和带有时间触发器的数据擦除恶意软件进行破坏。例如，Trojan KILLMBR在设定日期删除目标系统的数据，而QDDOS恶意软件在感染后擦除文件。另一个工具DESTOVER既能充当后门，也能擦除数据，这些策略旨在瘫痪系统，使其无法恢复。

误导

Lazarus集团经常伪装成虚假组织，如“GOP”（和平守护者）、“WhoAmI”和“New Romanic Army”，让这些假组织宣称对攻击负责，掩盖真实身份。他们还会篡改恶意代码，嵌入假旗帜，例如在KLIPOD后门中使用罗马化的俄文单词，试图误导调查人员。

后门

Lazarus依靠后门维持对被攻陷系统的持久访问，比如在钓鱼攻击中使用Manuscrypt（NukeSped）后门，以及针对防御目标部署的BLINDINGCAN和COPPERHEDGE植入程序。

反取证技术

Lazarus集团采用多种反取证手段来掩盖痕迹，包括：

• 组件分离：在Blunoroff子组织的行动中，将恶意软件拆解成多个部分，阻碍分析。
• 命令行工具：许多攻击依赖命令行后门和安装程序，要求特定参数才能运行。例如，Nestegg框架的安装程序需要密码作为参数。
• 数据擦除：Lazarus使用擦除工具清除攻击痕迹，如DESTOVER在Blunoroff行动中曾被发现。
• 日志删除：Lazarus删除预取数据、事件日志和主文件表（MFT）记录，以清除取证证据。

通过结合这些技术，Lazarus 可以有效地扰乱目标、误导归因工作并隐藏其活动。

如何防御Lazarus集团的攻击

防御Lazarus集团带来的威胁需要全面的安全策略。组织必须实施多层防护措施，保护其数字资产免受复杂的网络攻击。

关键防御措施包括：

• DDoS防护：组织应部署强大的缓解策略，防止服务中断和潜在的数据泄露。主动识别和中和此类攻击至关重要。
• 威胁情报：利用威胁情报可以帮助检测和应对网络威胁，包括勒索软件和DDoS攻击。保持对Lazarus集团战术不断变化的了解至关重要。
• 资产保护：金融机构、加密货币交易所等高价值目标必须保护关键数字资产，特别是SWIFT系统端点、ATM机和银行基础设施。
• 持续威胁监控：持续监控网络基础设施，及时发现并缓解潜在入侵。安全团队必须确保所有系统都定期更新最新补丁，以减少漏洞。
• 多层次安全解决方案：采用包括行为分析、机器学习和漏洞防护在内的先进安全解决方案，提高对目标攻击的防御能力。带有沙箱集成和勒索软件防护功能的工具增加了额外防护层。
• 实时防护：面对复杂攻击时，需要具备实时防护能力。应使用跨代技术在网络中的任何地方检测目标攻击，及时采取适当防御措施。

与Lazarus集团这样的高级威胁行为者的斗争不是一次性的防御，而是一场需要持续预防、检测和快速响应的长期战斗。

最终，抵御Lazarus集团需要警惕、先进的安全工具以及企业对持续改进的承诺。只有通过这些集体努力，企业和机构才能保护资产、维护信任，并始终领先于网络犯罪分子。

声明：

1. 本文转载自 [CoinTelegraph]。所有版权归原作者所有 [Dilip Kumar Patairya]。若对本次转载有异议，请联系 Gate Learn 团队，他们会及时处理。
2. 免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。
3. Gate Learn 团队将文章翻译成其他语言。除非另有说明，否则禁止复制、分发或抄袭翻译文章。