Lazarus使用ThreatNeedle恶意软件瞄准国防机构高级恶意软件窃取了国防部门的大量关键数据。据卡巴斯基称,他们在2020年年中首次观察到这种攻击活动。这是一次持续时间很长的攻击,攻击者使用带有COVID-19主题的电子邮件,结合受害者公开的个人信息,使他们很容易上当受骗。卡巴斯基研究人员VyacheslavKopeytsev和SeongsuPark在周四发表的一篇博文中表示,他们确定十多个国家的组织受到此次攻击的影响。他们说,犯罪分子设法窃取敏感数据并将其传输到由Lazazrus控制的远程服务器。研究人员表示,他们已经跟踪Manuscrypt(又名NukeSped)的高级恶意软件集群ThreatNeedle大约两年时间,并最终发现LazarusAPT是其幕后黑手。根据卡巴斯基的说法,我们根据恶意攻击的目标,将Lazarus评选为2020年最活跃的网络犯罪集团,因为这个臭名昭著的APT针对各行各业。研究人员观察到,虽然此前该组织主要为金正恩政府寻求资金,但其重点已转移到网络间谍活动上。他们不仅针对国防部门,还针对其他行业,例如去年12月披露的窃取COVID-19疫苗信息的黑客攻击以及对安全研究人员的攻击。研究人员仔细检查了最新活动的整个历史,他们说这让他们深入了解了拉撒路攻击的特征以及它们之间的联系。研究人员表示,该组织主要利用电子邮件进行攻击。电子邮件的内容是关于COVID-19的。更加合法合理。卡巴斯基表示,Lazarus在选择目标之前已经做了足够的信息研究,但最初的鱼叉式网络钓鱼攻击并不顺利。在发起攻击之前,该组织研究了有关目标组织的公开信息,并找到了该公司各个部门的电子邮件地址。研究人员说,犯罪分子制作了与COVID-19相关的网络钓鱼电子邮件,这些电子邮件要么附加了恶意Word文档,要么包含托管在远程服务器上的链接,这些链接被发送到目标部门的网络钓鱼电子邮件。在每个电子邮件地址中。Kopeytsev和Park表示,网络钓鱼电子邮件是由一家医疗中心精心制作并签署的,该医疗中心也是此次攻击的受害者。为了使电子邮件看起来更真实,攻击者在公共电子邮件服务上注册了一个帐户,这将使发件人的电子邮件地址看起来与医疗中心的真实电子邮件地址相似,同时在电子邮件签名中还会出现副主任的个人数据使用了被袭击医疗中心的医生。然而,研究人员观察到这些攻击中的一些失误。攻击的有效负载隐藏在启用宏的MicrosoftWord文档的附件中。然而,该文件包含有关人口健康评估程序的信息,而不是COVID-19,研究人员表示,这意味着网络攻击者实际上可能并不完全了解他们在攻击中使用的电子设备。消息的内容。最初的鱼叉式网络钓鱼攻击也没有成功,因为目标系统在MicrosoftOffice中禁用了宏。为了使目标运行恶意宏代码,攻击者随后发送了一封电子邮件,展示了如何在MicrosoftOffice中启用宏功能。但据研究人员称,该邮件发送的宏启用方法也与受害者使用的Office版本不兼容,因此攻击者不得不发送另一封邮件进行解释。研究人员表示,攻击者终于在6月3日得逞,当时一名员工打开了其中一份恶意文档,让攻击者可以远程控制受感染的系统。一旦部署了恶意软件,ThreatNeedle将经历三个阶段来完成攻击过程。ThreatNeedle由安装程序、加载程序和后门程序组成。该软件可以操作文件和目录、执行系统分析、控制后门进程、执行接收到的命令等。研究人员表示,一旦进入系统,攻击者就开始使用名为Responder的工具收集凭据,然后横向移动以查找受害者网络环境中的重要资产。他们还想出了一种打破网络隔离的方法。在获得对内部路由器的访问权限后,可以将其配置为代理服务器,使其能够使用自定义工具从内部网络传输窃取的数据,然后将其发送到远程服务器。他们说,在调查过程中,研究人员发现了这次攻击与之前发现的其他攻击之间的联系。一个叫做OperationDreamJob,另一个叫做OperationAppleJesus,两者都被怀疑是由朝鲜APT执行的。卡巴斯基表示,“这次调查让我们找到了Lazarus实施的多次攻击之间的内在联系”,还发现了该组织实施各种攻击的攻击策略和各种基础设施。本文翻译自:https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如有转载请注明出处。
