• Lazarus组织通过在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员，目标人员上钩后，进一步引诱目标人员安装视频面试相关的带毒工具或带毒的密币项目，以此展开密币窃取活动。
• Lazarus组织该系列对加密货币领域的活动最早可追溯到2023年5月份，使用的武器库木马包括QT6平台开发的下载器，Python、Javascript木马，目标操作系统包括Windows、Linux、MacOS。

• 微步通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

Lazarus组织在LinkedIn、X(Twitter)、Facebook、GitHub、Stack Overflow等多个平台发布加密货币相关的招聘或研究项目，以此物色目标人员。其中伪造的密币相关雇主网站Hirog.io当前依然存活。

Google快照可见多个历史招聘信息。

目标人员“上钩”后，攻击者通过telegram等通讯平台进一步引诱目标人员下载安装带毒的程序。基于Node.js的投毒MERN密币项目如下。

伪造的FCCCall视频会议软件如下，存在Windows和MacOS版本。

Lazarus诱导目标人员安装的带毒项目覆盖Windows、Linux、MacOS平台，后续使用的载荷多为轻量级的同类型python窃密木马，本文以Windows平台下“伪造FCCCall视频会议安装包的样本”为例进行分析。

1. FCCCall MSI安装包如下，启动程序FCCCall.exe即初始窃密木马。

２. 木马采用QT6环境开发，通过指向freeconference.com的视频会议窗口掩盖后台恶意代码执行。

３. 恶意代码初始化，C2（http://185.235.241.208:1224）、浏览器密币钱包扩展程序ID。

4. 根据默认的密币钱包扩展程序数据存储路径，窃取数据回传，URL： http://185.235.241.208:1224/uploads 。

5. 此外，木马进行python环境下载、python client木马下载。

• http://185.235.241.208:1224/pdown -> python安装包；

• http://185.235.241.208:1224/client/99 -> python木马。

6. http://185.235.241.208:1224/client/99 -> main99.py，下载的python载荷使用lambda函数进行多层嵌套的倒序、base64解码、解压缩处理得到最终python代码实体。

7. main99.py实际为下载器木马，下载三个后阶python木马分别实现远控、窃密、按键及窗口监控等恶意功能。

8. 简要总结三个下载的python木马功能如下。

%userprofile%/.n2/pay主机侦察代码如下，攻击者侦察重点为加密货币相关。

使用下发的配置文件启用anydesk客户端对中马主机进行更为直接的远控。

使用多个python库用于窗口监控、进程监控、剪切板监控、按键记录。

Python窃密木马适配Windows、Linux、MaxOS三大PC平台。

目标浏览器包括chrome、opera、brave、yandex、msedge五个常见浏览器程序。

9. 核心的远控代码初始化如下，解析各类型指令功能如下表。