威胁格局报告：加密时代的网络犯罪

变化的加密货币格局：政治变化和物理威胁 加密绑架企图加速 加密货币交易所和金融机构正变得越来越高利润目标—not just for cyber threats but also for physical security threats—as their visibility and value continue to grow. The level of the physical risk now associated with crypto has been highlighted by recent kidnappings and ransom attempts,leading to a rise in investors seeking protection services, including bodyguards. Risks to companies also increase when they are only potentiallyexposed, as discovered in the May 7, 2025, LOCKBIT breach, where negotiation conversations were leaked, along with their Bitcoin wallet addresses. 合规失败驱动风险 未能为加密服务建立合规协议会使金融机构和组织面临严重的法律后果，包括罚款、制裁和声誉损害。近年来，加密服务引起了关注，并被视为犯罪活动的中心，导致各司法管辖区实施严格监管措施。 财务洞察力差代价高昂 加密货币行业的金融情报失败可能带来灾难性的现实后果。这包括为恐怖主义活动提供资金和支持有组织犯罪集团。过去的加密货币漏洞凸显了数字资产引发跨市场金融动荡的担忧。例如，Bybit的漏洞发生时，比特币的价格暴跌了20%。 实现加密合规：不断演变的监管要求 证明渗透测试合规性 渗透测试（渗透测试）是一个组织整体网络安全和合规工作的关键方面，对加密货币交易所具有双重作用：首先，通过增强整体安全态势并帮助企业满足监管机构设定的合规要求。其次，记录在案的渗透测试提供了组织对安全与合规承诺的实体证据，这可能在监管审计或评估期间被要求。虽然没有任何单一、普遍的法律强制要求渗透测试，但几项法规和框架要求或强烈鼓励进行渗透测试。 需要进行渗透测试的法规和框架 渗透测试也与遵守其他法规和框架相关，例如与关键基础设施和政府系统相关的法规。加密货币业务的渗透测试法规主要集中于确保安全、遵守法规和保护用户资产。 加密监管：绘制监管环境图 美国和欧盟在涉及加密风险方面具有两个不同的特点；美国依赖现有的证券法律和执法行动来处理这些问题，而欧盟框架旨在为所有欧盟成员国提供一套协调良好的加密资产监管框架。 美国加密货币：需要强大的安全测试 在美国，2025年1月，总统唐纳德·特朗普签署了一项行政命令，宣布加密货币为国家优先事项，并支持“负责任地促进数字资产、区块链技术及相关技术在经济所有部门中的增长和使用。” 一个正在处理的基本监管问题是加密货币是否应作为证券由美国证券交易委员会监管，还是作为商品由商品期货交易委员会监管。国会正在考虑几项法案，包括《支付稳定币法案》和《卢米斯-吉利布兰德支付稳定币法案》。 金融犯罪执法网络（FinCEN）规定，交易所必须实施包括渗透测试在内的全面安全措施，以符合《银行保密法》（BSA）的规定。处理信用卡支付的加密货币交易所还必须遵守《支付卡行业数据安全标准》（PCI DSS）3.2.1的第11项要求，该要求具体规定必须进行定期渗透测试。美国证券交易委员会将许多加密货币视为证券，并关注投资者保护。虽然不明确要求渗透测试，但确实要求金融机构进行强大的安全测试以确保合规性。测试可用于识别潜在漏洞，这些漏洞可能被威胁行为者利用。 英国加密货币：寻求平衡监管体系 2024年12月，英国金融行为监管局（FCA）发布一份题为 a 讨论文件 (DP)DP24/4：规范加密资产—加密资产的准入与披露及市场滥用监管制度遵循FCA最新的五年战略，其致力于引入一个平衡的监管体系，以支持英国的经济发展。为此，DP 24/4的焦点是现货加密资产，例如稳定币，以及FCA所指的无担保加密资产（例如，比特币）。它不包括那些已包含在2000年金融服务和市场法案（监管活动）订单第III部分已指定的投资清单中的内容，例如金融工具代币化。FCA发布DP23/4旨在帮助制定英国的法定货币支持稳定币监管体系。这是FCA发布的一系列出版物的一部分，旨在促进英国加密资产监管体系的发展。 欧盟加密货币：DORA明确指出需要以威胁为导向的渗透测试 数字运营韧性法案（DORA）适用于广泛的金融实体，包括加密资产服务提供者和加密资产发行者。DORA要求欧盟的相关组织进行受控评估——威胁驱动渗透测试 (TLPTs)定期评估其网络韧性。这涉及到以情报为主导的方法来进行针对组织最关键业务系统的经典红队测试。 第二十五条至第二十七条规定，TLPTs针对IT资产进行： • 支持金融实体的“关键或重要功能”（如适用，包括第三方系统）。 • 使用通过定制威胁情报分析获得的现实战术、技术和程序（TTPs）。• 主动识别——并允许实体迅速缓解/补救——其控制措施和反制措施实施中的任何弱点、缺陷或空白。 TLPTs如果监管机构认定某个组织属于适用范围，则必须至少每三年执行一次。最后，DORA的TLPT应遵循现有的基于威胁情报的道德红队（TIBER）-EU框架，同时现在也有一些额外的考虑因素和方面也已正式化并纳入DORA，例如现在强制执行的紫色团队练习。 啃下币安：全球最大加密货币黑客事件时间线 2月21日：威胁行为者攻击Bitfinex 加密货币交易所 Bybit 声称，在其最大的一次加密货币盗窃事件中，从其一个冷钱包中盗取了价值超过14.6亿美元加密货币，几乎是2022年3月Sky Mavis被盗6.2亿美元的两倍。据信这些资金被直接用于资助朝鲜政府。 2月23日：归功于拉撒路 确认此次分析将黑客属性归因于朝鲜相关的拉撒路集团（KTA071），揭示了从初始Bybit盗窃地址和BingX以及先前归因于该集团的Phemex漏洞的资金的混合。 区块链分析公司 Chainalysis报告在攻击上进一步详细说明，并且指出行为者的 TTP 与朝鲜威胁行为者的 TTP之间的一致性，这与其他研究实体将 KTA071（Lazarus）归因于的情况相符。这一归因也得到了 Safe 的证实，Safe 负责被攻击的智能合约系统。 2月26日：FBI确认 FBI宣布朝鲜对此次袭击负责。 利用领英 四月： 发现一场活动，该活动看到了该组织常用初始访问方法的延续通过 LinkedIn 上招聘人员的冒充。 通过领英发送给申请人的PDF诱饵包含一个编程挑战。该脚本的函数是创建一个空白Python文件并将其写入“/Public/”目录，以加载和执行第一个恶意负载。这个新文件被识别为RNLOADER，它接下来下载并执行RNSTEALER，这是报告中观察到的主要恶意负载。 RNSTEALER的目的是与其他信息窃取者相似，收集基本受害信息、文件和目录列表，以及存储的用于安全外壳（SSH）、亚马逊网络服务（AWS）、Kubernetes和谷歌云的密钥。从这里，威胁行为者可能会评估被盗信息，并判断是否需要针对该受害者进行更多活动（例如持久化），这可能用于跳转至更重要的企业资产。 当前：改变行为 Kroll 相信 KTA071 现在也在利用 ClickFix 技巧作为其攻击链的一部分。 恶意软件聚焦 恶意软件趋势分析 2025年第一季度恶意软件趋势呈现出持续性威胁、重大攻击和部分新面孔，例如FULLMETAL，它源于PDFast软件遭遇供应链攻击后被转为恶意软件。这是一个特别值得注意的案例，因为PDFast和类似类型的威胁（如前报告讨论过的Chrome扩展程序）同时影响大量组织。Kroll网络威胁情报团队已发现仍有PDFast的感染版本存在。 其余前十反映自至少2024年初至中期观察到的趋势：大量窃取信息者和大量旨在针对身份的恶意软件，身份是一个关键问题。 尽管网络威胁情报团队看到的“落地扩展”方法——即威胁行为者先植入恶意软件，然后其他定制恶意软件扩散到整个组织——要少得多，但他们观察到“无恶意软件攻击”明显增多，这些攻击主要涉及利用本地可执行文件和部署信息窃取者。 真伪鉴别：基于区块链技术 Kroll持续观察到，通过CLEARFAKE利用伪造的验证码弹窗，在广泛的行业领域内进行了大量的初始访问尝试。 CLEARFAKE是一个部署在被入侵网页上的恶意浏览器JavaScript框架，作为恶意驱动的攻击活动的一部分。自2023年被首次发现以来，其使用已影响数千人。 当前状态：尽管CLEARFAKE持续展示其使用相关的相同主题，同时伴随虚假CAPTCHA弹窗，但2025年第一季度的众多细枝末节凸显了Kroll数据中活动集群内CLEARFAKE相关妥协措施的快速发展。 从Kroll处发现更多关于CLEARFAKE交付快速演变的见解。 CLEARTURE and EtherHiding Clearfake 使用“以太隐藏”技术将恶意有效载荷存储在区块链上。以太隐藏是一种技术，它允许将恶意逻辑作为账本条目在区块链上进行近乎永久的主机，使恶意行为者能够依赖恶意 JavaScript 的检索、交付和执行，从而无限期地进行。它的工作原理是利用某些区块链特性，例如不可变性和点对点分发。 在区块链账本上，每条记录都是一个“区块”，包含前一个区块的哈希标识以及交易数据。这串联起交易历史，任何试图修改这些交易的行为都会使之前的哈希标识失效，从而导致计算失败。 因此，对区块链的更改需要回滚所有交易，并且由于该技术的点对点性质频繁，账本难以删除或下线。交易数据可以变化，在以太隐藏的情况下，它由一个“智能合约”组成。这可以被视为当合约条件满足时将执行的逻辑，以满足合约条款。 最弱环节：清晰伪造以太隐藏区块链技术 用户浏览受损害网页 CLEARFAKE活动始于用户浏览到一个被攻陷的网页，通常是一个WordPress网站，它作为一个“自动获取控制”的攻击方式，等待用户访问该页面。获取并展示虚假更新提示的技术涉及使用Ethers，这是一个JavaScript库，与BNB智能链（BSC）一起使用，BNB智能链是Binance创建的，是BNB加密货币的智能合约系统。 恶意代码存储 攻击者在BSC上存储了一个包含恶意代码的合约对象，并通过Binance端点进行程序化检索。 JavaScript 函数嵌入 攻击者在受损的网站上嵌入了一个简单的JavaScript函数（通常在所有页面都会加载的模板中）。 对象副本获取 此代码使用Ethers库从BSC获取此对象的副本，威胁行为者将其视为代码并用JavaScript运行。 POST 请求初始化 一旦使用 Ethers 库发起请求，受害者的浏览器就会使用 JSON-RPC 向 BSC 发起一个 POST 请求，其响应格式如下（末尾的编码字符串已截断以便查看）：“{“jsonrpc”:”2.0”,”id”:44,”result”:”0x000000000000000[....]”}” 任务完成 响应格式包含用于交付载荷的actor控制域地址，该载荷用于在浏览器中识别和执行，向受害者显示正确的语言和伪造浏览器iframe。 案例研究：重大加密货币盗窃之后动乱四起 关键发现 该恶意软件导致了Havoc C2代理“恶魔”的部署，同时调查了一起大规模加密货币盗窃。 Havoc C2是一个开源的后渗透命令与控制框架。 Kroll研究人员发现了两种新的恶意软件，一个后门和一个加载器，分别命名为“PRELUDE”和“DELPHYS”。 挑战 在调查一起大