当前位置:安全资讯 >> 全文

朝鲜黑客组织 Lazarus 更新黑客工具库

发布时间:2018-1-26 18:11 标签: Lazarus,朝鲜,国家黑客
分享到 0

趋势科技发布报告称,近来由和朝鲜存在关联的 Lazarus 黑客组织发动网络攻击时使用了一个更新后的后门以及一款远程控制器工具。

是银行业面临的最大威胁

Lazarus 黑客组织针对金融机构发动攻击,使用水坑式攻击以及和 Lazarus 组织关联的 RATANKBA 木马新变体,能够传播多种 payload,包括针对银行系统的黑客工具和软件。

Lazarus 组织至少活跃于2009 年,被指受朝鲜政府支持。该黑客组织针对政府、军事、媒体、航空航天、金融和制造业组织机构发动攻击,被认为是银行面临的最严重的威胁。

一半以上的受害者是印度及邻国的中小企业和个人

Lazarus 黑客组织最近使用的服务器用于临时存储被盗数据,而安全研究员从中发现了相关攻击和受害者。约55%的受害者位于印度及其邻国,而且多数并未使用企业版的微软软件。

Proofpoint 公司的研究人员在201712月发布的报告中指出,Lazarus 已开始针对个人发动攻击,攻击中使用了一个新的 Windows 可执行下载器以及一个新的第一阶段植入。

趋势科技指出,“不到5%的受害者是微软 Windows 企业版用户,说明目前 RATANKBA 多数影响的是小型组织机构或个体用户,而非大型组织机构。Lazarus 组织很有可能在使用 RATANKBA 之外的工具针对更大规模的组织机构发动攻击。”

研究人员分析受害者的 IP 地址后认为,受害者都未跟大型银行或金融机构之间存在关联。然而,受害者可能是印度 web 软件开发企业的员工,而且韩国似乎也受到针对性攻击。

攻击手法

黑客通过恶意 Office 文档(包括和软件开发或数字货币相关的主题)、CHM 文件和脚本下载器向目标传播 RATANKBA 恶意软件。攻击目标是在受害者机器上安装 RATANKBA 后门以窃取用户信息并在系统上执行命令。

黑客通过一款远程控制器工具向受攻陷的端点发送任务。通过这款控制器,攻击者对位于主服务器上的任务进行排队,RATANKBA 连接到这台服务器上检索并执行任务。也就是输欧,后门和攻击者之间并未启动实时通信。

这款控制器具有图形 UI 接口,能导致攻击者向服务器推送代码并从中下载受害者资料。

攻击者既懂朝鲜语又懂汉语

在这些攻击中使用RATANKBA 变体的似乎是讲朝鲜语的人员,“或者至少能讲接近朝鲜人语言水平的朝鲜语。”至少其中一人应该懂汉语。Lazarus 黑客组织似乎对密币如比特币和小蚁 (Ant Share) 感兴趣。

报告指出,鉴于Lazarus 黑客组织在攻击中使用大量工具和技术,因此可以假设该组织将会继续使用不断改进的战术发动恶意活动。总体而言,组织机构需要部署多层安全战略,因为Lazarus 和其它类似组织是很有经验的网络犯罪分子,他们应用不同的战略绕过组织机构的防御措施。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/north-korea-linked-lazarus-hackers-update-arsenal-hacking-tools
参与讨论,请先 登录 | 注册

用户评论