在最近针对韩国实体的鱼叉式网络钓鱼活动中,发现与朝鲜有联系的APT组织Lazarus在.BMP图像文件中隐藏恶意代码以规避检测。隐藏在.BMP图像中的恶意代码可以在受害者的系统上安装远程访问木马(RAT),允许攻击者窃取敏感信息。来自Malwarebytes的研究人员表示,钓鱼活动始于分发带有恶意文件的电子邮件,研究人员于4月13日发现了该文件。该钓鱼电子邮件创建的诱饵文件声称是韩国某城市博览会的申请表,并且首次打开时提示用户启用宏。该宏首先调用MsgBoxOKCancel函数,该函数向用户弹出一个消息框,声称是旧版本的MicrosoftOffice。在幕后,此宏调用压缩为zlib文件的可执行HTA文件,该文件包含在整个PNG图像文件中。此宏还通过调用WIA_ConvertImage函数将PNG格式的图像转换为BMP格式。专家指出,将PNG文件格式转换为BMP文件格式会自动解压从PNG嵌??入的恶意zlib对象为BMP,因为BMP文件格式是一种未压缩的图形文件格式。使用这个技巧,攻击者可以避免检测图像中的嵌入对象。然后用户触发感染链的攻击代码,最终释放一个名为“AppStore.exe”的可执行文件。然后,有效负载继续提取附加到自身的加密第二阶段有效负载,在运行时对其进行解码和解密,与远程服务器建立通信,接收其他命令,并将这些命令的结果传回服务器。该活动与过去的Lazarus操作有很多相似之处,例如第二阶段的有效载荷使用了类似于Lazarus相关的BISTROMATHRAT使用的自定义加密算法。LazarusAPT组织背景LazarusAPT组织至少从2009年开始活跃,普遍认为与朝鲜有关。主要的攻击方法是使用恶意软件。该组织参与了无数网络间谍和破坏活动,并拥有丰富的“记录”。普遍认为该团伙与大规模WannaCry勒索软件攻击有关。此外,2016年大量的SWIFT攻击事件和索尼影业的黑客攻击也被认为与该组织有关。根据卡巴斯基在2020年发布的一份报告,在过去两年中,该组织不断发展其针对加密货币交易所的TTP。
