[[385976]]

新的研究顯示，一個(gè)曾經(jīng)作案多起的被稱為L(zhǎng)azarus的朝鮮APT組織最近發(fā)動(dòng)了一次魚叉式釣魚攻擊活動(dòng)，他們通過(guò)利用一個(gè)名為ThreatNeedle的高級(jí)惡意軟件從國(guó)防部門竊取了大量關(guān)鍵數(shù)據(jù)。

根據(jù)卡巴斯基的說(shuō)法，他們?cè)?020年中期首次觀察到了這種攻擊活動(dòng)。這場(chǎng)攻擊持續(xù)時(shí)間很長(zhǎng)，網(wǎng)絡(luò)攻擊者在這里使用了帶有COVID-19主題的電子郵件并結(jié)合了受害者的公開(kāi)的個(gè)人信息，這樣使得他們很容易上當(dāng)受騙。

卡巴斯基研究人員Vyacheslav Kopeytsev和Seongsu Park在周四發(fā)表的一篇博客文章中表示，他們確定有十多個(gè)國(guó)家的組織在此次攻擊中受到了影響。他們說(shuō)，犯罪分子成功地竊取了敏感數(shù)據(jù)，并將其傳輸?shù)搅薒azazrus控制的遠(yuǎn)程服務(wù)器上。

研究人員表示，他們已經(jīng)跟蹤Manuscrypt(又名NukeSped)的高級(jí)惡意軟件集群ThreatNeedle大約兩年了，最后發(fā)現(xiàn)Lazarus APT是幕后指使者。

卡巴斯基稱，根據(jù)惡意攻擊的目標(biāo)，

我們將Lazarus評(píng)選為2020年最活躍的網(wǎng)絡(luò)犯罪團(tuán)伙，因?yàn)檫@個(gè)臭名昭著的APT會(huì)針對(duì)各行各業(yè)進(jìn)行攻擊。

研究人員觀察到，雖然此前該組織主要是在為金正恩政府爭(zhēng)取資金，但現(xiàn)在其關(guān)注點(diǎn)已經(jīng)轉(zhuǎn)移到了網(wǎng)絡(luò)間諜活動(dòng)上。他們不僅針對(duì)國(guó)防部門進(jìn)行攻擊活動(dòng)，而且還對(duì)其他行業(yè)進(jìn)行攻擊，如12月披露的竊取COVID-19疫苗信息的攻擊事件和針對(duì)安全研究人員的攻擊事件。

研究人員仔細(xì)研究了最新攻擊活動(dòng)的整個(gè)過(guò)程，他們說(shuō)這有助于他們深入了解Lazarus的攻擊特點(diǎn)，以及各個(gè)攻擊活動(dòng)之間的聯(lián)系。研究人員說(shuō)，該組織主要使用電子郵件進(jìn)行攻擊，郵件內(nèi)容是關(guān)于COVID-19的，他們還會(huì)在郵件內(nèi)容中提及受害者的個(gè)人信息，這樣可以降低受害者的警惕性，也使郵件看起來(lái)更加合法合理。

卡巴斯基稱，Lazarus在選擇攻擊目標(biāo)之前已經(jīng)做足了信息調(diào)查，但剛開(kāi)始進(jìn)行的魚叉式釣魚攻擊進(jìn)行的并不順利。在發(fā)起攻擊之前，該組織研究了目標(biāo)組織的公開(kāi)信息，并找到了該公司各部門的電子郵件地址。

研究人員表示，犯罪分子制作了有關(guān)COVID-19內(nèi)容的釣魚郵件，這些郵件要么附上了一個(gè)惡意的Word文檔，或者包含了一個(gè)托管在遠(yuǎn)程服務(wù)器上的鏈接，這些惡意郵件都會(huì)發(fā)送到目標(biāo)部門的各個(gè)電子郵件地址中。

Kopeytsev和Park說(shuō)：

這些釣魚郵件是精心制作的，郵件的署名是一個(gè)醫(yī)療中心，同時(shí)該醫(yī)療中心也是此次攻擊的受害者。

為了使電子郵件看起來(lái)更加真實(shí)，攻擊者在公共電子郵件服務(wù)中注冊(cè)了賬戶，這樣可以使發(fā)件人的電子郵件地址與醫(yī)療中心的真實(shí)電子郵件地址看起來(lái)很相似，同時(shí)在電子郵件簽名中使用了被攻擊的醫(yī)療中心副主任醫(yī)生的個(gè)人資料。

然而，研究人員觀察到這些攻擊中存在一些失誤。攻擊的有效載荷被隱藏在了一個(gè)啟用了宏的微軟Word文檔的附件中。然而，該文檔的內(nèi)容卻是關(guān)于人口健康評(píng)估程序的信息，而不是有關(guān)COVID-19的信息，研究人員說(shuō)，這意味著網(wǎng)絡(luò)攻擊者可能實(shí)際上并沒(méi)有完全理解他們?cè)诠糁兴玫碾娮余]件的內(nèi)容。

最初進(jìn)行的魚叉式釣魚攻擊也沒(méi)有成功，這是因?yàn)槟繕?biāo)系統(tǒng)的微軟Office中禁用了宏功能。為了使目標(biāo)運(yùn)行惡意宏代碼，攻擊者隨后又發(fā)送出了一封郵件，展示如何在微軟Office中啟用宏功能。但據(jù)研究人員觀察，那封郵件發(fā)送的啟用宏的方法也與受害者所使用的Office版本不兼容，因此攻擊者不得不再發(fā)一封郵件來(lái)解釋。

研究人員表示，攻擊者最終是在6月3日攻擊成功，當(dāng)時(shí)員工打開(kāi)了其中的一個(gè)惡意文檔，使攻擊者獲得了對(duì)受感染系統(tǒng)的遠(yuǎn)程控制權(quán)限。

惡意軟件一旦被部署，ThreatNeedle會(huì)經(jīng)過(guò)三個(gè)階段來(lái)完成攻擊過(guò)程，ThreatNeedle由安裝程序、加載器和后門組成，該軟件能夠操縱文件和目錄、進(jìn)行系統(tǒng)分析、控制后門進(jìn)程、執(zhí)行接收到的命令等。

研究人員稱，攻擊者進(jìn)入系統(tǒng)后，他們會(huì)繼續(xù)使用一個(gè)名為Responder的工具來(lái)收集憑證，然后進(jìn)行橫向移動(dòng)，尋找受害者網(wǎng)絡(luò)環(huán)境中的重要資產(chǎn)。

他們還想出了一種打破網(wǎng)絡(luò)隔離的方法，在獲得內(nèi)部路由器的訪問(wèn)權(quán)限后，可以將其配置為代理服務(wù)器，使它能夠使用定制的工具從內(nèi)網(wǎng)網(wǎng)絡(luò)中傳輸出被竊取的數(shù)據(jù)，然后將其發(fā)送到遠(yuǎn)程服務(wù)器上。

他們說(shuō)，在調(diào)查的過(guò)程中，研究人員發(fā)現(xiàn)了此次攻擊與之前發(fā)現(xiàn)的其他攻擊之間的聯(lián)系。其中一個(gè)被稱為DreamJob行動(dòng)，另一個(gè)被稱為AppleJesus行動(dòng)，這兩個(gè)攻擊都被懷疑是朝鮮APT所為。

卡巴斯基稱，"這項(xiàng)調(diào)查使我們能夠在Lazarus進(jìn)行的多個(gè)攻擊活動(dòng)之間找到內(nèi)在的聯(lián)系"，并且也發(fā)現(xiàn)了該組織進(jìn)行各種攻擊時(shí)所使用的攻擊策略和各種基礎(chǔ)設(shè)施。

本文翻譯自：https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若轉(zhuǎn)載，請(qǐng)注明原文地址。