以下內(nèi)容譯自維基百科詞條「Lazarus Group」正文：

Lazarus Group（也被稱為 「Guardians」 或 「Peace or Whois Team」）是一個(gè)由數(shù)量不明的人員組成的黑客組織，據(jù)稱受朝鮮政府操控。雖然人們對(duì)該組織了解有限，但自 2010 年以來，研究人員已將多起網(wǎng)絡(luò)攻擊歸咎于他們。

該組織最初是一個(gè)犯罪團(tuán)伙，如今因其攻擊意圖、造成的威脅，以及行動(dòng)時(shí)使用的多種手段，已被認(rèn)定為高級(jí)持續(xù)性威脅組織。網(wǎng)絡(luò)安全機(jī)構(gòu)給他們起了不少別稱，比如 「Hidden Cobra」（美國(guó)國(guó)土安全部用這個(gè)稱呼來指代朝鮮政府發(fā)起的惡意網(wǎng)絡(luò)活動(dòng)），還有 「ZINC」 或 「Diamond Sleet」（微軟的叫法）。據(jù)該國(guó)叛逃者 Kim Kuk-song 稱，該組織在朝鮮國(guó)內(nèi)被稱為 「414 聯(lián)絡(luò)辦公室」。

Lazarus Group 與朝鮮聯(lián)系緊密。美國(guó)司法部宣稱，該組織是朝鮮政府戰(zhàn)略的一部分，目的是 「破壞全球網(wǎng)絡(luò)安全…… 并違反制裁規(guī)定獲取非法收入」。朝鮮通過開展網(wǎng)絡(luò)行動(dòng)能獲得諸多好處，僅需要維護(hù)一個(gè)非常精干的小團(tuán)隊(duì)就能構(gòu)成「全球性」的不對(duì)稱威脅（尤其是針對(duì)韓國(guó)）。

發(fā)展歷程

該組織已知最早發(fā)動(dòng)的攻擊是 2009 年至 2012 年的 「特洛伊行動(dòng)」。這是一場(chǎng)網(wǎng)絡(luò)間諜活動(dòng)，他們利用并不復(fù)雜的分布式拒絕服務(wù)攻擊（DDoS）技術(shù)，將位于首爾的韓國(guó)政府作為目標(biāo)。2011 年和 2013 年，他們也發(fā)動(dòng)了攻擊。雖然不能確定，但 2007 年針對(duì)韓國(guó)的一次攻擊也有可能是他們所為。該組織的一次著名攻擊發(fā)生在 2014 年，目標(biāo)是索尼影視。這次攻擊運(yùn)用了更復(fù)雜的技術(shù)，也顯示出該組織隨著時(shí)間推移變得越來越成熟。

據(jù)報(bào)道，2015 年，Lazarus Group 從厄瓜多爾的奧斯特羅銀行盜走 1200 萬美元，還從越南的先鋒銀行盜走 100 萬美元。他們還將波蘭和墨西哥的銀行列為目標(biāo)。2016 年的銀行盜竊案中，他們對(duì)某銀行發(fā)動(dòng)攻擊，成功盜走 8100 萬美元，這起案件也被認(rèn)為是該組織所為。2017 年，有報(bào)道稱 Lazarus Group 從臺(tái)灣遠(yuǎn)東國(guó)際商業(yè)銀行盜走 6000 萬美元，不過實(shí)際被盜金額并不明確，而且大部分資金已追回。

目前尚不清楚該組織的真正幕后黑手是誰，但媒體報(bào)道指出，該組織與朝鮮有密切關(guān)聯(lián)。2017 年，卡巴斯基實(shí)驗(yàn)室報(bào)告稱，Lazarus Group 傾向于專注間諜和滲透類網(wǎng)絡(luò)攻擊，而其內(nèi)部一個(gè)被卡巴斯基稱為 「Bluenoroff」 的子組織，則專門從事金融網(wǎng)絡(luò)攻擊。卡巴斯基在全球發(fā)現(xiàn)多起攻擊事件，并發(fā)現(xiàn) Bluenoroff 與該國(guó)存在直接的 IP 地址關(guān)聯(lián)。

不過，卡巴斯基也承認(rèn)，代碼的重復(fù)使用可能是一種 「假旗行動(dòng)」，目的是誤導(dǎo)調(diào)查人員，讓朝鮮背黑鍋，畢竟全球范圍內(nèi)的「想哭」 蠕蟲網(wǎng)絡(luò)攻擊就抄襲了美國(guó)國(guó)家安全局的技術(shù)。這種勒索軟件利用了美國(guó)國(guó)家安全局的 「永恒之藍(lán)」 漏洞，2017 年 4 月，一個(gè)名為 「影子經(jīng)紀(jì)人」 的黑客組織將該漏洞公開。2017 年，Symantec 報(bào)告稱，「WannaCry」 攻擊極有可能是 Lazarus Group 所為。

2009?年?「特洛伊行動(dòng)」

Lazarus Group 的首次重大黑客事件發(fā)生在 2009 年 7 月 4 日，標(biāo)志著 「特洛伊行動(dòng)」 的開始。這次攻擊利用 「我的末日」 和「推土機(jī)」 惡意軟件，對(duì)美國(guó)和韓國(guó)的網(wǎng)站發(fā)起大規(guī)模但手法并不復(fù)雜的 DDoS 攻擊。這波攻擊針對(duì)約 36 個(gè)網(wǎng)站，并在主引導(dǎo)記錄（MBR）中植入 「獨(dú)立日紀(jì)念」 的文字。

2013?年韓國(guó)網(wǎng)絡(luò)攻擊（「Operation 1 行動(dòng)」/「黑暗首爾」?行動(dòng)）

隨著時(shí)間推移，該組織的攻擊手段愈發(fā)復(fù)雜；他們的技術(shù)和工具也更加成熟、有效。2011 年 3 月的 「十日雨」 攻擊，目標(biāo)是韓國(guó)的媒體、金融和關(guān)鍵基礎(chǔ)設(shè)施，采用了更復(fù)雜的 DDoS 攻擊，這些攻擊源自韓國(guó)國(guó)內(nèi)被入侵的計(jì)算機(jī)。2013 年 3 月 20 日，「黑暗首爾」 行動(dòng)展開，這是一次擦除數(shù)據(jù)的攻擊，目標(biāo)是韓國(guó)的三家廣播公司、金融機(jī)構(gòu)和一家互聯(lián)網(wǎng)服務(wù)提供商。當(dāng)時(shí)，另外兩個(gè)自稱 「新羅馬網(wǎng)絡(luò)軍團(tuán)」 和 「WhoIs 團(tuán)隊(duì)」 的組織宣稱對(duì)此次攻擊負(fù)責(zé)，但研究人員當(dāng)時(shí)并不知道背后主謀是 Lazarus Group。如今，研究人員知道 Lazarus Group 是這些破壞性攻擊的主導(dǎo)者。

2014?年末：索尼影視遭入侵

2014 年 11 月 24 日，Lazarus Group 的攻擊達(dá)到高潮。當(dāng)天，Reddit 上出現(xiàn)一篇帖子，稱索尼影視被不明手段入侵，攻擊者自稱 「和平衛(wèi)士」。大量數(shù)據(jù)被盜取，并在攻擊后的幾天里逐漸泄露。一名自稱是該組織成員的人在接受采訪時(shí)表示，他們竊取索尼的數(shù)據(jù)已有一年多時(shí)間。

黑客得以訪問尚未發(fā)行的電影、部分電影劇本、未來電影計(jì)劃、公司高管薪資信息、電子郵件，以及約 4000 名員工的個(gè)人信息。

2016?年初調(diào)查：「重磅炸彈行動(dòng)」

以 「重磅炸彈行動(dòng)」 為代號(hào)，由 Novetta 牽頭的多家安全公司組成聯(lián)盟，對(duì)不同網(wǎng)絡(luò)安全事件中發(fā)現(xiàn)的惡意軟件樣本進(jìn)行分析。利用這些數(shù)據(jù)，該團(tuán)隊(duì)分析了黑客的作案手法。他們通過代碼復(fù)用模式，將 Lazarus Group 與多起攻擊關(guān)聯(lián)起來。例如，他們使用了一種在互聯(lián)網(wǎng)上鮮為人知的加密算法 ——「卡拉卡斯」 密碼算法。

2016?年某銀行網(wǎng)絡(luò)盜竊案

2016 年 2 月發(fā)生了一起銀行盜竊案。安全黑客通過環(huán)球銀行金融電信協(xié)會(huì)（SWIFT）網(wǎng)絡(luò)發(fā)出 35 條欺詐指令，試圖從某國(guó)中央銀行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶非法轉(zhuǎn)移近 10 億美元。35 條欺詐指令中有 5 條成功轉(zhuǎn)移了 1.01 億美元，其中 2000 萬美元流向斯里蘭卡，8100 萬美元流向菲律賓。紐約聯(lián)邦儲(chǔ)備銀行因一條指令拼寫錯(cuò)誤產(chǎn)生懷疑，阻止了其余 30 筆交易，涉及金額 8.5 億美元。網(wǎng)絡(luò)安全專家稱，此次攻擊的幕后黑手是來自某國(guó)的 Lazarus Group。

2017?年?5?月?「WannaCry」?勒索軟件攻擊

「WannaCry」 攻擊是一場(chǎng)大規(guī)模的勒索軟件網(wǎng)絡(luò)攻擊，2017 年 5 月 12 日，從英國(guó)國(guó)家醫(yī)療服務(wù)體系（NHS），到波音公司，甚至中國(guó)的一些大學(xué)，全球眾多機(jī)構(gòu)都受到影響。這次攻擊持續(xù)了 7 小時(shí) 19 分鐘。歐洲刑警組織估計(jì)，此次攻擊影響了 150 個(gè)國(guó)家的近 20 萬臺(tái)計(jì)算機(jī)，主要受影響的地區(qū)包括俄羅斯、印度、烏克蘭和臺(tái)灣地區(qū)。這是最早的加密蠕蟲攻擊之一。加密蠕蟲是一類惡意軟件，可通過網(wǎng)絡(luò)在計(jì)算機(jī)之間傳播，無需用戶直接操作即可感染 —— 在這次攻擊中，它利用的是 TCP 端口 445。計(jì)算機(jī)感染該病毒無需點(diǎn)擊惡意鏈接，惡意軟件可自動(dòng)傳播，從一臺(tái)計(jì)算機(jī)傳播到連接的打印機(jī)，再傳播到附近連接無線網(wǎng)絡(luò)的其他計(jì)算機(jī)等。端口 445 的漏洞使得惡意軟件能在內(nèi)部網(wǎng)絡(luò)中自由傳播，迅速感染數(shù)千臺(tái)計(jì)算機(jī)。「WannaCry」 攻擊是首次大規(guī)模使用加密蠕蟲的攻擊之一。

攻擊方式：該病毒利用了 Windows 操作系統(tǒng)的漏洞，然后加密計(jì)算機(jī)數(shù)據(jù)，要求支付約 300 美元價(jià)值的比特幣來獲取解密密鑰。為促使受害者付款，三天后贖金翻倍，如果一周內(nèi)未支付，惡意軟件就會(huì)刪除加密的數(shù)據(jù)文件。惡意軟件使用了微軟開發(fā)的一款名為 「Windows Crypto」 的合法軟件來加密文件。加密完成后，文件名會(huì)加上 「Wincry」 后綴，這就是 「想哭」（WannaCry）名稱的由來。「Wincry」 是加密的基礎(chǔ)，但惡意軟件還利用了另外兩個(gè)漏洞 「永恒之藍(lán)」（EternalBlue）和 「雙脈沖星」（DoublePulsar），使其成為加密蠕蟲。「永恒之藍(lán)」 可自動(dòng)通過網(wǎng)絡(luò)傳播病毒，「雙脈沖星」 則觸發(fā)病毒在受害者計(jì)算機(jī)上激活。也就是說，「永恒之藍(lán)」 將受感染的鏈接傳播到你的計(jì)算機(jī)，「雙脈沖星」 替你點(diǎn)擊了它。

安全研究員 Marcus Hutchins 從一家安全研究公司的朋友那里收到該病毒樣本后，發(fā)現(xiàn)病毒中硬編碼了一個(gè) 「殺毒開關(guān)」，從而終止了這次攻擊。該惡意軟件會(huì)定期檢查某個(gè)特定域名是否已注冊(cè)，只有在該域名不存在時(shí)才會(huì)繼續(xù)進(jìn)行加密操作。哈欽斯發(fā)現(xiàn)了這個(gè)檢查機(jī)制，隨后在協(xié)調(diào)世界時(shí)下午 3 點(diǎn) 03 分注冊(cè)了相關(guān)域名。惡意軟件立即停止傳播并感染新設(shè)備。這一情況很值得玩味，也為追蹤病毒制作者提供了線索。通常情況下，阻止惡意軟件需要黑客和安全專家反復(fù)較量數(shù)月時(shí)間，如此輕易地獲勝令人始料未及。這次攻擊還有一個(gè)不同尋常之處，那就是支付贖金后文件也無法恢復(fù)：黑客僅收到 16 萬美元贖金，這讓很多人認(rèn)為他們的目的并非錢財(cái)。

「殺毒開關(guān)」 輕易被破解以及贖金收益微薄，讓很多人相信這次攻擊是由國(guó)家支持的；其動(dòng)機(jī)并非經(jīng)濟(jì)補(bǔ)償，而是制造混亂。攻擊發(fā)生后，安全專家追蹤發(fā)現(xiàn)，「雙脈沖星」 漏洞源自美國(guó)國(guó)家安全局，該漏洞最初是作為一種網(wǎng)絡(luò)武器開發(fā)的。后來，「影子經(jīng)紀(jì)人」 黑客組織竊取了這個(gè)漏洞，先是試圖拍賣，但未能成功，最后干脆免費(fèi)公開。美國(guó)國(guó)家安全局隨后將該漏洞信息告知微軟，微軟于 2017 年 3 月 14 日發(fā)布了更新，距離攻擊發(fā)生不到一個(gè)月。但這還不夠，由于更新并非強(qiáng)制安裝，到 5 月 12 日時(shí)，大多數(shù)存在該漏洞的計(jì)算機(jī)仍未修復(fù)，導(dǎo)致這次攻擊造成了驚人的破壞。

后續(xù)影響：美國(guó)司法部和英國(guó)當(dāng)局后來認(rèn)定，「WannaCry」 攻擊是朝鮮黑客組織 Lazarus Group 所為。

2017?年加密貨幣攻擊事件

2018 年，Recorded Future 發(fā)布報(bào)告稱，Lazarus Group 與針對(duì)加密貨幣比特幣和門羅幣用戶的攻擊有關(guān)，這些攻擊主要針對(duì)韓國(guó)用戶。據(jù)報(bào)道，這些攻擊在技術(shù)上與此前使用 「想哭」 勒索軟件的攻擊以及針對(duì)索尼影視的攻擊相似。Lazarus Group 黑客使用的手段之一是利用韓國(guó)文字處理軟件 Hangul（由 Hancom 開發(fā)）的漏洞。另一種手段是發(fā)送包含惡意軟件的魚叉式網(wǎng)絡(luò)釣魚誘餌，目標(biāo)是韓國(guó)學(xué)生和 Coinlink 等加密貨幣交易平臺(tái)的用戶。

如果用戶打開惡意軟件，其電子郵件地址和密碼就會(huì)被盜取。Coinlink 否認(rèn)其網(wǎng)站或用戶的電子郵件地址和密碼遭到黑客攻擊。該報(bào)告總結(jié)稱：「2017 年末的這一系列攻擊表明，某國(guó)對(duì)加密貨幣的興趣有增無減，如今我們知道這種興趣涵蓋了包括挖礦、勒索軟件攻擊和直接盜竊等廣泛活動(dòng)……」 報(bào)告還指出，某國(guó)利用這些加密貨幣攻擊來規(guī)避國(guó)際金融制裁。

2017 年 2 月，某國(guó)黑客從韓國(guó)加密貨幣交易平臺(tái) Bithumb 盜走 700 萬美元。另一家韓國(guó)比特幣交易公司 Youbit 在 2017 年 4 月遭受一次攻擊后，同年 12 月又因 17% 的資產(chǎn)被盜，不得不申請(qǐng)破產(chǎn)。Lazarus Group 和某國(guó)黑客被指是這些攻擊的幕后黑手。2017 年 12 月，加密貨幣云挖礦市場(chǎng) Nicehash 損失了 4500 多枚比特幣。一項(xiàng)調(diào)查更新顯示，此次攻擊與 Lazarus Group 有關(guān)。

2019?年?9?月攻擊事件

2019 年 9 月中旬，美國(guó)發(fā)布公開警報(bào)，稱發(fā)現(xiàn)一種名為 「ElectricFish」 的新型惡意軟件。自 2019 年初以來，某國(guó)特工在全球范圍內(nèi)實(shí)施了 5 起重大網(wǎng)絡(luò)盜竊，其中包括成功從科威特一家機(jī)構(gòu)盜走 4900 萬美元。

2020?年末制藥公司攻擊事件

由于新冠疫情持續(xù)蔓延，制藥公司成為 Lazarus Group 的主要目標(biāo)。Lazarus Group 成員利用魚叉式網(wǎng)絡(luò)釣魚技術(shù)，偽裝成衛(wèi)生官員，向制藥公司員工發(fā)送惡意鏈接。據(jù)信，多家大型制藥企業(yè)成為攻擊目標(biāo)，但目前已確認(rèn)的只有英瑞合資的阿斯利康公司。據(jù)路透社報(bào)道，眾多員工成為攻擊對(duì)象，其中很多人參與了新冠疫苗的研發(fā)工作。目前尚不清楚 Lazarus Group 發(fā)動(dòng)這些攻擊的目的，但可能包括：竊取敏感信息獲利、實(shí)施敲詐勒索計(jì)劃，以及讓外國(guó)政權(quán)獲取新冠病毒相關(guān)的專有研究成果 。阿斯利康尚未對(duì)該事件發(fā)表評(píng)論，專家認(rèn)為目前尚無敏感數(shù)據(jù)泄露。

2021?年?1?月針對(duì)網(wǎng)絡(luò)安全研究人員的攻擊事件

2021 年 1 月，谷歌和微軟均公開報(bào)告稱，有一群來自某國(guó)的黑客通過社會(huì)工程學(xué)手段，對(duì)網(wǎng)絡(luò)安全研究人員發(fā)起攻擊，微軟明確指出該攻擊由 Lazarus Group 實(shí)施。

黑客在 Twitter、GitHub 和領(lǐng)英等平臺(tái)創(chuàng)建多個(gè)用戶資料，偽裝成合法的軟件漏洞研究人員，與安全研究社區(qū)的其他人發(fā)布的帖子和內(nèi)容互動(dòng)。然后，他們會(huì)直接聯(lián)系特定的安全研究人員，以合作研究為由，誘使受害者下載包含惡意軟件的文件，或訪問由黑客控制的網(wǎng)站上的博客文章。

一些訪問了博客文章的受害者稱，盡管他們使用的是已完全安裝補(bǔ)丁的谷歌 Chrome 瀏覽器，但計(jì)算機(jī)仍遭到入侵，這表明黑客可能利用了此前未知的 Chrome 零日漏洞進(jìn)行攻擊；然而，谷歌在報(bào)告發(fā)布時(shí)表示，無法確定具體的入侵方式。

2022?年?3?月鏈游?Axie Infinity?攻擊事件

2022 年 3 月，Lazarus Group 被指從 Axie Infinity 游戲使用的 Ronin 網(wǎng)絡(luò)中竊取了價(jià)值 6.2 億美元的加密貨幣。聯(lián)邦調(diào)查局表示：「通過調(diào)查，我們確認(rèn) Lazarus Group 和 APT38（與朝鮮有關(guān)聯(lián)的網(wǎng)絡(luò)行為者）是此次盜竊的幕后黑手。」

2022?年?6?月?Horizon Bridge?攻擊事件

聯(lián)邦調(diào)查局證實(shí)，朝鮮惡意網(wǎng)絡(luò)行為者組織 Lazarus Group（也被稱為 APT38）是 2022 年 6 月 24 日?qǐng)?bào)道的從 Harmony 的 Horizon 橋竊取 1 億美元虛擬貨幣事件的幕后黑手。

2023?年其他相關(guān)加密貨幣攻擊事件

區(qū)塊鏈安全平臺(tái) Immunefi 發(fā)布的一份報(bào)告稱，Lazarus Group 在 2023 年的加密貨幣黑客攻擊事件中，造成的損失超過 3 億美元，占當(dāng)年總損失的 17.6%。

2023 年 6 月 Atomic Wallet 攻擊事件：2023 年 6 月，Atomic Wallet 服務(wù)的用戶被盜走價(jià)值超過 1 億美元的加密貨幣，聯(lián)邦調(diào)查局隨后證實(shí)了這一事件。

2023 年 9 月 Stake.com 黑客攻擊事件：2023 年 9 月，聯(lián)邦調(diào)查局證實(shí)，在線賭場(chǎng)和博彩平臺(tái) Stake.com 價(jià)值 4100 萬美元的加密貨幣被盜，作案者是 Lazarus Group。

美國(guó)制裁措施

2022 年 4 月 14 日，美國(guó)財(cái)政部海外資產(chǎn)控制辦公室（OFAC）根據(jù)某國(guó)制裁條例第 510.214 條，將 Lazarus Group 列入特別指定國(guó)民清單（SDN List）。

2024?年加密貨幣攻擊事件

據(jù)印度媒體報(bào)道，當(dāng)?shù)匾患颐麨?nbsp;WazirX 的加密貨幣交易所遭到該組織攻擊，價(jià)值 2.349 億美元的加密資產(chǎn)被盜。

人員培養(yǎng)

據(jù)傳言，部分朝鮮黑客會(huì)被派往中國(guó)沈陽進(jìn)行專業(yè)培訓(xùn)，學(xué)習(xí)如何將各類惡意軟件植入計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器。在朝鮮內(nèi)部，金策工業(yè)綜合大學(xué)、金日成綜合大學(xué)和萬景臺(tái)大學(xué)承擔(dān)相關(guān)教育任務(wù)，這些大學(xué)從全國(guó)選拔最優(yōu)秀的學(xué)生，讓他們接受為期六年的特殊教育。除大學(xué)教育外，「一些最優(yōu)秀的程序員…… 會(huì)被送到萬景臺(tái)大學(xué)或 Mirim 學(xué)院深造」。

組織分支

Lazarus Group 被認(rèn)為有兩個(gè)分支。

BlueNorOff

BlueNorOff（也被稱為 APT38、「星辰千里馬」、「BeagleBoyz」、「NICKEL GLADSTONE」）是一個(gè)受經(jīng)濟(jì)利益驅(qū)使的組織，通過偽造環(huán)球銀行金融電信協(xié)會(huì)（SWIFT）指令進(jìn)行非法資金轉(zhuǎn)移。Mandiant 稱其為 APT38，Crowdstrike 則稱其為 「星辰千里馬」。

根據(jù)美國(guó)陸軍 2020 年的一份報(bào)告，BlueNorOff 約有 1700 名成員，他們專注于長(zhǎng)期評(píng)估并利用敵方網(wǎng)絡(luò)漏洞和系統(tǒng)，從事金融網(wǎng)絡(luò)犯罪活動(dòng)，為該國(guó)政權(quán)獲取經(jīng)濟(jì)利益或控制相關(guān)系統(tǒng)。2014 年至 2021 年間，他們的目標(biāo)包括至少 13 個(gè)國(guó)家的 16 家機(jī)構(gòu)，這些國(guó)家有孟加拉國(guó)、智利、印度、墨西哥、巴基斯坦、菲律賓、韓國(guó)、臺(tái)灣地區(qū)、土耳其和越南等。據(jù)信，這些非法所得被用于該國(guó)導(dǎo)彈和核技術(shù)的研發(fā)。

BlueNorOff 最臭名昭著的攻擊是 2016 年的某銀行盜竊案，他們?cè)噲D通過 SWIFT 網(wǎng)絡(luò)，從某國(guó)中央銀行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶非法轉(zhuǎn)移近 10 億美元。部分交易成功完成（2000 萬美元流向斯里蘭卡，8100 萬美元流向菲律賓）后，紐約聯(lián)邦儲(chǔ)備銀行因一條指令拼寫錯(cuò)誤產(chǎn)生懷疑，阻止了其余交易。

與 BlueNorOff 相關(guān)的惡意軟件包括：「DarkComet」「Mimikatz」「Nestegg」「Macktruck」「想哭」「Whiteout」「Quickcafe」「Rawhide」「Smoothride」「TightVNC」「Sorrybrute」「Keylime」「Snapshot」「Mapmaker」「net.exe」「sysmon」「Bootwreck」「Cleantoad」「Closeshave」「Dyepack」「Hermes」「Twopence」「Electricfish」「Powerratankba」 和 「Powerspritz」 等。

BlueNorOff 常用的手段包括：網(wǎng)絡(luò)釣魚、設(shè)置后門、利用漏洞攻擊、水坑攻擊、利用過時(shí)且不安全的 Apache Struts 2 版本在系統(tǒng)上執(zhí)行代碼、戰(zhàn)略性地入侵網(wǎng)站，以及訪問 Linux 服務(wù)器等。有報(bào)道稱，他們有時(shí)會(huì)與犯罪黑客合作。

AndAriel

AndAriel，也拼作 Andarial，還有別稱：沉默的千里馬（Silent Chollima）、黑暗首爾（Dark Seoul）、來福槍（Rifle）以及瓦松尼特（Wassonite），從邏輯上看，其特點(diǎn)是將韓國(guó)作為攻擊目標(biāo)。安德里爾的別稱 「沉默的千里馬」 源于該組織行事隱秘的特性 [70]。韓國(guó)的任何機(jī)構(gòu)都可能受到安德里爾的攻擊，目標(biāo)包括政府部門、國(guó)防機(jī)構(gòu)以及各類經(jīng)濟(jì)標(biāo)志性實(shí)體。

根據(jù)美國(guó)陸軍 2020 年的一份報(bào)告，安德里爾組織約有 1600 名成員，他們的任務(wù)是進(jìn)行偵察、評(píng)估網(wǎng)絡(luò)漏洞，并繪制敵方網(wǎng)絡(luò)地圖以便實(shí)施潛在攻擊 。除韓國(guó)外，他們還將其他國(guó)家的政府、基礎(chǔ)設(shè)施和企業(yè)列為攻擊目標(biāo)。攻擊手段包括：利用 ActiveX 控件、韓國(guó)軟件漏洞、水坑攻擊、魚叉式網(wǎng)絡(luò)釣魚（宏病毒方式）、針對(duì) IT 管理產(chǎn)品（如殺毒軟件、項(xiàng)目管理軟件）進(jìn)行攻擊，以及通過供應(yīng)鏈（安裝程序和更新程序）發(fā)動(dòng)攻擊。使用的惡意軟件有：雅利安（Aryan）、灰鴿子遠(yuǎn)程控制木馬（Gh0st RAT）、Rifdoor、Phandoor 和安達(dá)拉特（Andarat）。

相關(guān)人員遭起訴情況

2021 年 2 月，美國(guó)司法部起訴了朝鮮軍事情報(bào)機(jī)構(gòu)偵察總局的三名成員 —— 樸晉赫（Park Jin Hyok）、全昌赫（Jon Chang Hyok）和金一樸（Kim Il Park），指控他們參與了 Lazarus Group（Lazarus）的多起黑客攻擊活動(dòng)。樸晉赫早在 2018 年 9 月就已被起訴。這幾名嫌疑人目前均未被美國(guó)拘押。此外，一名加拿大人和兩名中國(guó)人也被指控為 Lazarus Group 充當(dāng)資金轉(zhuǎn)運(yùn)者和洗錢者。