推广

Lazarus通过在社交平台上进行游戏推广，同时通过邮件来进行钓鱼攻击。

他们在社交平台上包装账号，让这个账号看起来很专业，发布的都是游戏相关的图片和文字。

账号包装完成之后，他们会尝试着让一些KOL来推广他们的游戏，一方面可以黑KOL的账号，另一方面也可以有更多的人访问他们的网站。

0day

一旦用户使用Chrome浏览器访问了他们的网站，就会中0day。

根据Kaspersky的分析，Lazarus使用了两个漏洞，一个V8 Type Confusion漏洞（CVE-2024-4947，发现的时候是0day）和一个V8 sandbox bypass漏洞（这个不确定是0day还是1day）。

这也说明了Lazarus要么技术很厉害，要么就是很壕。

CVE-2024-4947：

谷歌Chrome浏览器125.0.6422.60版本之前，V8引擎中的类型混淆漏洞允许远程攻击者通过精心制作的HTML页面在沙盒内执行任意代码。

这个漏洞在发现时是0day，因此，只要在当时访问了网站，就会中招。

V8 sandbox bypass：攻击者绕过 V8 引擎的沙盒限制，从而在受限制的环境中执行任意代码或访问受限资源的技术。

执行命令之后，黑客会收集电脑信息，以便判断是否要进一步进行攻击。

游戏

安全专家发现，只要用户访问这个网站就会中招，那这个坦克游戏是真的还是假的。

安全专家决定下载游戏来玩一下，看这个游戏是不是也是带有病毒的，比如玩游戏就会中毒。

打开游戏之后，游戏素材显示的是网站logo，并且有登录界面。

难道黑客真的开发了一个游戏？

简单试了几个用户名密码，发现没有反应。安全专家发现后端api已经没有响应了，因此无法进一步尝试。

不过，这难不倒安全专家。

通过分析，安全专家发现，游戏传输的数据是JSON格式的，数据会使用AES256进行加密，之后会进行Base64编码传输。AES的密钥是“Full Stack IT Service 198703GameV”，IV是“MatGoGameProject”。

AES

AES（Advanced Encryption Standard）加密算法是一种广泛使用的对称加密算法，由NIST在2001年发布，作为DES（Data Encryption Standard）的替代品。

密钥（Key），通常说的密码，用于加密和解密数据。

IV是一个随机或伪随机的比特序列，与密钥一起使用来加密数据。IV的主要目的是确保即使相同的明文被多次加密，每次也会产生不同的密文，这是为了防止重放攻击和模式识别攻击。

安全专家继续逆向了游戏中的几条操作命令，之后实现了一个简单的后端。开玩。

别说，还挺好玩的。不过，没有发现后门。

难道黑客现在也兼职开发游戏了？

进一步调查，安全专家发现，这个游戏是黑客偷的，有一个游戏和这个游戏是一样的。

并且原作者在群里面说过，他被黑了，价值两万的虚拟货币被盗了。

现实是，不止他的虚拟货币被盗了，他的源代码也被盗了，还被用来进行黑客攻击了。