新研究表明,曾多次犯罪的人被称为Lazarus的朝鲜APT最近,该组织通过使用一项名为鱼叉钓鱼攻击的活动,发起了一项鱼叉钓鱼攻击活动ThreatNeedle国防部门窃取了大量高级恶意软件的关键数据。
据卡巴斯基介绍,他们在2020年中期首次观察到了这种攻击。攻击持续时间长, *** 攻击者在这里使用COVID-19电子邮件的主题与受害者公开的个人信息相结合,使他们易上当受骗。
卡巴斯基研究人员Vyacheslav Kopeytsev和Seongsu Park他们在周四发表的一篇博客文章中说,他们确定十几个国家的组织受到了攻击的影响。他们说,犯罪分子成功地窃取了敏感数据并将其传输到Lazazrus控制的远程服务器上。
研究人员表示,他们已经跟踪Manuscrypt(又名NukeSped)高级恶意软件集群ThreatNeedle大约两年后,我终于发现了Lazarus APT是幕后的使者。
卡巴斯基说,根据恶意攻击的目标,
我们将Lazarus因为这个臭名昭著评为2020年最活跃的 *** 犯罪团伙APT攻击各行各业。
研究人员观察到,虽然该组织以前主要为金正恩 *** 争取资金,但其关注点已转移到 *** 间谍活动上。他们不仅攻击国防部门,还攻击其他行业,如12月披露的盗窃COVID-19针对安全研究人员的疫苗信息攻击和攻击。
研究人员仔细研究了最新攻击的整个过程,他们说这有助于他们深入了解Lazarus攻击特征和各种攻击活动之间的联系。研究人员表示,该组织主要使用电子邮件进行攻击,这是关于COVID-19是的,他们还会在邮件内容中提到受害者的个人信息,这样可以降低受害者的警惕性,使邮件看起来更加合法合理。
卡巴斯基称,Lazarus在选择攻击目标之前,已经进行了足够的信息调查,但最初的鱼叉钓鱼攻击并不顺利。在发起攻击之前,该组织研究了目标组织的公共信息,并找到了公司各部门的电子邮件地址。
研究人员说,犯罪分子 *** 了相关产品COVID-19钓鱼邮件的内容,这些邮件恶意邮件Word文档或包含远程服务器上托管的链接,这些恶意邮件将发送到目标部门的电子邮件地址。
Kopeytsev和Park说:
这些钓鱼邮件是精心 *** 的,邮件的签名是医疗中心,医疗中心也是攻击的受害者。
为了使电子邮件看起来更真实,攻击者在公共电子邮件服务中注册了账户,使发件人的电子邮件地址看起来与医疗中心的真实电子邮件地址非常相似,并使用了被攻击医疗中心副主任医生的个人信息。
然而,研究人员观察到这些攻击中存在一些错误。攻击的有效载荷隐藏在微软上,微软使用宏Word文件附件中。然而,该文件的内容是关于人口健康评估程序的信息,而不是关于人口健康评估程序COVID-19研究人员表示,这意味着 *** 攻击者可能不完全理解他们在攻击中使用的电子邮件。
由于目标系统的微软,最初的鱼叉钓鱼攻击失败了Office宏功能被禁止。为了使目标运行恶意宏代码,攻击者随后发送了一封电子邮件,以显示如何在微软Office中启用宏功能。但根据研究人员的观察,邮件发送的启用宏的 *** 也与受害者使用的 *** 有关Office版本不兼容,攻击者不得不发邮件解释。
研究人员说,攻击者最终在6月3日成功攻击,当时员工打开了一个恶意文件,使攻击者获得了对感染系统的远程控制。
一旦部署恶意软件,ThreatNeedle攻击过程将在三个阶段完成,ThreatNeedle该软件由安装程序、加载器和后门组成,可操作文件和目录,进行系统分析,控制后门过程,执行接收到的命令。
研究人员说,进入系统后,攻击者将继续使用一个名称Responder收集凭证的工具,然后横向移动,在受害者的 *** 环境中寻找重要资产。
他们还想出了一种打破 *** 隔离的 *** 。在获得内部路由器的访问权限后,可以将其配置为 *** 服务器,使其可以使用定制工具从内部 *** 中传输被盗数据,然后发送到远程服务器。
他们说,在调查过程中,研究人员发现了攻击与之前发现的其他攻击之间的联系。其中一个被称为DreamJob行动,另一个叫做AppleJesus这两次攻击都被怀疑是朝鲜APT所为。
卡巴斯基说,"这项调查使我们能够在Lazarus在多次攻击活动之间找到内部联系",还发现了该组织在进行各种攻击时使用的攻击策略和基础设施。
本文翻译自:https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若转载,请注明原文地址。