https://static.jiayezz.com/4d/1df28b0b6c97b166a3c58073b2150b

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

Palo Alto最近发布报告称,跟朝鲜存在关联的网络监控组织Lazarus是攻击美国国防承包商的幕后黑手。


朝鲜黑客组织被指攻击美国国防承包商

Lazarus组织至少活跃于2009年,它被指发动多起高级别攻击,其中包括2014年攻击索尼影业;且据悉它跟最近发生的“想哭”勒索软件攻击之间存在关联。美国政府将该组织称为“隐匿的眼镜蛇”,安全企业认为它发动了多起攻击活动如“炸弹行动”、“黑暗首尔”和“特洛伊行动”。Palo Alto认为最近美国国防承包商遭受的攻击或由其直接发动或跟其它网络间谍联合发布。

研究人员指出,黑客通过发送包含使用宏的英语Office文档的鱼叉式钓鱼邮件传播恶意软件。具体来讲,研究人员看到了某些美国国防承包商收到的描述职位空缺的诱骗文档。文档似乎是一份带有拼写错误的复制文件,其中包括合法公司网站上出现的职位描述。

它跟最近发生的攻击活动之间存在关联,包括非常相似的宏、诱骗文档详情、命令和控制服务器以及payload。研究人员解释称,“对宏代码的重复利用、宏使用XOR密钥解码植入payload、以及宏写入磁盘的payload中的功能性重叠证明威胁组织还在使用这个工具集。使用自动化工具构建武器化文档说明攻击者仍在经常使用但却没有连续复用文档中的元数据、payload和XOR密钥。”研究人员指出该组织使用的工具和技术相比之前有变化但变化不大。因此安全专家认为Lazarus组织还会继续发动针对性攻击。

虽然Lazarus组织跟多起间谍和破坏性活动有关,但最近的多次攻击表明它似乎已将注意力转移至金融机构,包括孟加拉国的中央银行和波兰的银行。

文章原文链接:https://www.anquanke.com/post/id/86629