日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Lazarus組織使用ThreatNeedle惡意軟件攻擊國防部門

新的研究顯示,一個曾經(jīng)作案多起的被稱為Lazarus的朝鮮APT組織最近發(fā)動了一次魚叉式釣魚攻擊活動,他們通過利用一個名為ThreatNeedle的高級惡意軟件從國防部門竊取了大量關鍵數(shù)據(jù)。

成都創(chuàng)新互聯(lián)是一家以網(wǎng)站建設公司、網(wǎng)頁設計、品牌設計、軟件運維、成都網(wǎng)站營銷、小程序App開發(fā)等移動開發(fā)為一體互聯(lián)網(wǎng)公司。已累計為三維植被網(wǎng)等眾行業(yè)中小客戶提供優(yōu)質(zhì)的互聯(lián)網(wǎng)建站和軟件開發(fā)服務。

根據(jù)卡巴斯基的說法,他們在2020年中期首次觀察到了這種攻擊活動。這場攻擊持續(xù)時間很長,網(wǎng)絡攻擊者在這里使用了帶有COVID-19主題的電子郵件并結(jié)合了受害者的公開的個人信息,這樣使得他們很容易上當受騙。

卡巴斯基研究人員Vyacheslav Kopeytsev和Seongsu Park在周四發(fā)表的一篇博客文章中表示,他們確定有十多個國家的組織在此次攻擊中受到了影響。他們說,犯罪分子成功地竊取了敏感數(shù)據(jù),并將其傳輸?shù)搅薒azazrus控制的遠程服務器上。

研究人員表示,他們已經(jīng)跟蹤Manuscrypt(又名NukeSped)的高級惡意軟件集群ThreatNeedle大約兩年了,最后發(fā)現(xiàn)Lazarus APT是幕后指使者。

卡巴斯基稱,根據(jù)惡意攻擊的目標,

我們將Lazarus評選為2020年最活躍的網(wǎng)絡犯罪團伙,因為這個臭名昭著的APT會針對各行各業(yè)進行攻擊。

研究人員觀察到,雖然此前該組織主要是在為金正恩政府爭取資金,但現(xiàn)在其關注點已經(jīng)轉(zhuǎn)移到了網(wǎng)絡間諜活動上。他們不僅針對國防部門進行攻擊活動,而且還對其他行業(yè)進行攻擊,如12月披露的竊取COVID-19疫苗信息的攻擊事件和針對安全研究人員的攻擊事件。

研究人員仔細研究了最新攻擊活動的整個過程,他們說這有助于他們深入了解Lazarus的攻擊特點,以及各個攻擊活動之間的聯(lián)系。研究人員說,該組織主要使用電子郵件進行攻擊,郵件內(nèi)容是關于COVID-19的,他們還會在郵件內(nèi)容中提及受害者的個人信息,這樣可以降低受害者的警惕性,也使郵件看起來更加合法合理。

卡巴斯基稱,Lazarus在選擇攻擊目標之前已經(jīng)做足了信息調(diào)查,但剛開始進行的魚叉式釣魚攻擊進行的并不順利。在發(fā)起攻擊之前,該組織研究了目標組織的公開信息,并找到了該公司各部門的電子郵件地址。

研究人員表示,犯罪分子制作了有關COVID-19內(nèi)容的釣魚郵件,這些郵件要么附上了一個惡意的Word文檔,或者包含了一個托管在遠程服務器上的鏈接,這些惡意郵件都會發(fā)送到目標部門的各個電子郵件地址中。

Kopeytsev和Park說:

這些釣魚郵件是精心制作的,郵件的署名是一個醫(yī)療中心,同時該醫(yī)療中心也是此次攻擊的受害者。

為了使電子郵件看起來更加真實,攻擊者在公共電子郵件服務中注冊了賬戶,這樣可以使發(fā)件人的電子郵件地址與醫(yī)療中心的真實電子郵件地址看起來很相似,同時在電子郵件簽名中使用了被攻擊的醫(yī)療中心副主任醫(yī)生的個人資料。

然而,研究人員觀察到這些攻擊中存在一些失誤。攻擊的有效載荷被隱藏在了一個啟用了宏的微軟Word文檔的附件中。然而,該文檔的內(nèi)容卻是關于人口健康評估程序的信息,而不是有關COVID-19的信息,研究人員說,這意味著網(wǎng)絡攻擊者可能實際上并沒有完全理解他們在攻擊中所利用的電子郵件的內(nèi)容。

最初進行的魚叉式釣魚攻擊也沒有成功,這是因為目標系統(tǒng)的微軟Office中禁用了宏功能。為了使目標運行惡意宏代碼,攻擊者隨后又發(fā)送出了一封郵件,展示如何在微軟Office中啟用宏功能。但據(jù)研究人員觀察,那封郵件發(fā)送的啟用宏的方法也與受害者所使用的Office版本不兼容,因此攻擊者不得不再發(fā)一封郵件來解釋。

研究人員表示,攻擊者最終是在6月3日攻擊成功,當時員工打開了其中的一個惡意文檔,使攻擊者獲得了對受感染系統(tǒng)的遠程控制權(quán)限。

惡意軟件一旦被部署,ThreatNeedle會經(jīng)過三個階段來完成攻擊過程,ThreatNeedle由安裝程序、加載器和后門組成,該軟件能夠操縱文件和目錄、進行系統(tǒng)分析、控制后門進程、執(zhí)行接收到的命令等。

研究人員稱,攻擊者進入系統(tǒng)后,他們會繼續(xù)使用一個名為Responder的工具來收集憑證,然后進行橫向移動,尋找受害者網(wǎng)絡環(huán)境中的重要資產(chǎn)。

他們還想出了一種打破網(wǎng)絡隔離的方法,在獲得內(nèi)部路由器的訪問權(quán)限后,可以將其配置為代理服務器,使它能夠使用定制的工具從內(nèi)網(wǎng)網(wǎng)絡中傳輸出被竊取的數(shù)據(jù),然后將其發(fā)送到遠程服務器上。

他們說,在調(diào)查的過程中,研究人員發(fā)現(xiàn)了此次攻擊與之前發(fā)現(xiàn)的其他攻擊之間的聯(lián)系。其中一個被稱為DreamJob行動,另一個被稱為AppleJesus行動,這兩個攻擊都被懷疑是朝鮮APT所為。

卡巴斯基稱,"這項調(diào)查使我們能夠在Lazarus進行的多個攻擊活動之間找到內(nèi)在的聯(lián)系",并且也發(fā)現(xiàn)了該組織進行各種攻擊時所使用的攻擊策略和各種基礎設施。

本文翻譯自:https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若轉(zhuǎn)載,請注明原文地址。


當前名稱:Lazarus組織使用ThreatNeedle惡意軟件攻擊國防部門
標題URL:http://www.dlmjj.cn/article/ccciepp.html