详细内容或原文请订阅后点击阅览
Lazarus APT 针对某未具名核相关组织的员工
2024 年 1 月,与朝鲜有关的 Lazarus Group 针对某未具名核相关组织的员工发起攻击。卡巴斯基研究人员观察到,与朝鲜有关的 Lazarus Group 在一个月内针对了至少两名与同一核相关组织有关的员工。专家认为,这些攻击是网络间谍活动 Operation Dream Job(又名 NukeSped)的一部分,[…]
来源:Security Affairs _恶意软件Lazarus APT 针对某未具名核相关组织的员工
Lazarus APT 针对某未具名核相关组织的员工
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 23 日与朝鲜有关的 Lazarus Group 于 2024 年 1 月针对某未具名核相关组织的员工。
卡巴斯基研究人员观察到,与朝鲜有关的 Lazarus Group 在一个月内针对了至少两名与同一核相关组织有关的员工。
Lazarus 集团专家认为,这些攻击是网络间谍活动 Operation Dream Job(又名 NukeSped)的一部分,该活动至少自 2020 年以来一直活跃。
Operation Dream Job NukeSped攻击者使用了复杂的感染链,其中包括多种类型的恶意软件,包括下载器、加载器和后门。民族国家行为者将包含恶意文件的存档文件发送给这两名员工。
Lazarus 使用恶意 ISO 文件逃避检测,部署木马化的 VNC 软件来传播 Ranid Downloader、MISTPEN、RollMid 和 LPEClient 等恶意软件。
研究人员还在受感染的主机上发现了 CookieTime 恶意软件,该恶意代码在 LPEClient 安装后作为 SQLExplorer 服务激活,最初执行 C2 命令,但现在主要下载有效负载。
CookieTime攻击者使用 CookieTime 下载了多种恶意软件,包括 LPEClient、Charamel Loader、ServiceChanger 和更新的 CookiePlus。Charamel Loader 使用 ChaCha20 算法解密并加载 CookieTime、CookiePlus 和 ForestTiger 等恶意软件。
Kimsuky APT 组织“由于 CookiePlus 充当下载器,因此其功能有限,并且只会将极少的信息从受感染的主机传输到 C2 服务器。在与 C2 的初始通信期间,CookiePlus 会生成一个 32 字节的数据数组,其中包括来自其配置文件的 ID、特定偏移量和计算出的步骤标志数据。”报告中写道。
阅读报告 马塔 Gopuram 加载器 @securityaffairs @securityaffairs (