[[385976]]

新的研究顯示，一個曾經(jīng)作案多起的被稱為Lazarus的朝鮮APT組織最近發(fā)動了一次魚叉式釣魚攻擊活動，他們通過利用一個名為ThreatNeedle的高級惡意軟件從國防部門竊取了大量關(guān)鍵數(shù)據(jù)。

根據(jù)卡巴斯基的說法，他們在2020年中期首次觀察到了這種攻擊活動。這場攻擊持續(xù)時間很長，網(wǎng)絡(luò)攻擊者在這里使用了帶有COVID-19主題的電子郵件并結(jié)合了受害者的公開的個人信息，這樣使得他們很容易上當(dāng)受騙。

卡巴斯基研究人員Vyacheslav Kopeytsev和Seongsu Park在周四發(fā)表的一篇博客文章中表示，他們確定有十多個國家的組織在此次攻擊中受到了影響。他們說，犯罪分子成功地竊取了敏感數(shù)據(jù)，并將其傳輸?shù)搅薒azazrus控制的遠(yuǎn)程服務(wù)器上。

研究人員表示，他們已經(jīng)跟蹤Manuscrypt(又名NukeSped)的高級惡意軟件集群ThreatNeedle大約兩年了，最后發(fā)現(xiàn)Lazarus APT是幕后指使者。

卡巴斯基稱，根據(jù)惡意攻擊的目標(biāo)，

我們將Lazarus評選為2020年最活躍的網(wǎng)絡(luò)犯罪團(tuán)伙，因為這個臭名昭著的APT會針對各行各業(yè)進(jìn)行攻擊。

研究人員觀察到，雖然此前該組織主要是在為金正恩政府爭取資金，但現(xiàn)在其關(guān)注點已經(jīng)轉(zhuǎn)移到了網(wǎng)絡(luò)間諜活動上。他們不僅針對國防部門進(jìn)行攻擊活動，而且還對其他行業(yè)進(jìn)行攻擊，如12月披露的竊取COVID-19疫苗信息的攻擊事件和針對安全研究人員的攻擊事件。

研究人員仔細(xì)研究了最新攻擊活動的整個過程，他們說這有助于他們深入了解Lazarus的攻擊特點，以及各個攻擊活動之間的聯(lián)系。研究人員說，該組織主要使用電子郵件進(jìn)行攻擊，郵件內(nèi)容是關(guān)于COVID-19的，他們還會在郵件內(nèi)容中提及受害者的個人信息，這樣可以降低受害者的警惕性，也使郵件看起來更加合法合理。

卡巴斯基稱，Lazarus在選擇攻擊目標(biāo)之前已經(jīng)做足了信息調(diào)查，但剛開始進(jìn)行的魚叉式釣魚攻擊進(jìn)行的并不順利。在發(fā)起攻擊之前，該組織研究了目標(biāo)組織的公開信息，并找到了該公司各部門的電子郵件地址。

研究人員表示，犯罪分子制作了有關(guān)COVID-19內(nèi)容的釣魚郵件，這些郵件要么附上了一個惡意的Word文檔，或者包含了一個托管在遠(yuǎn)程服務(wù)器上的鏈接，這些惡意郵件都會發(fā)送到目標(biāo)部門的各個電子郵件地址中。

Kopeytsev和Park說：

這些釣魚郵件是精心制作的，郵件的署名是一個醫(yī)療中心，同時該醫(yī)療中心也是此次攻擊的受害者。

為了使電子郵件看起來更加真實，攻擊者在公共電子郵件服務(wù)中注冊了賬戶，這樣可以使發(fā)件人的電子郵件地址與醫(yī)療中心的真實電子郵件地址看起來很相似，同時在電子郵件簽名中使用了被攻擊的醫(yī)療中心副主任醫(yī)生的個人資料。

然而，研究人員觀察到這些攻擊中存在一些失誤。攻擊的有效載荷被隱藏在了一個啟用了宏的微軟Word文檔的附件中。然而，該文檔的內(nèi)容卻是關(guān)于人口健康評估程序的信息，而不是有關(guān)COVID-19的信息，研究人員說，這意味著網(wǎng)絡(luò)攻擊者可能實際上并沒有完全理解他們在攻擊中所利用的電子郵件的內(nèi)容。

最初進(jìn)行的魚叉式釣魚攻擊也沒有成功，這是因為目標(biāo)系統(tǒng)的微軟Office中禁用了宏功能。為了使目標(biāo)運行惡意宏代碼，攻擊者隨后又發(fā)送出了一封郵件，展示如何在微軟Office中啟用宏功能。但據(jù)研究人員觀察，那封郵件發(fā)送的啟用宏的方法也與受害者所使用的Office版本不兼容，因此攻擊者不得不再發(fā)一封郵件來解釋。

研究人員表示，攻擊者最終是在6月3日攻擊成功，當(dāng)時員工打開了其中的一個惡意文檔，使攻擊者獲得了對受感染系統(tǒng)的遠(yuǎn)程控制權(quán)限。

惡意軟件一旦被部署，ThreatNeedle會經(jīng)過三個階段來完成攻擊過程，ThreatNeedle由安裝程序、加載器和后門組成，該軟件能夠操縱文件和目錄、進(jìn)行系統(tǒng)分析、控制后門進(jìn)程、執(zhí)行接收到的命令等。

研究人員稱，攻擊者進(jìn)入系統(tǒng)后，他們會繼續(xù)使用一個名為Responder的工具來收集憑證，然后進(jìn)行橫向移動，尋找受害者網(wǎng)絡(luò)環(huán)境中的重要資產(chǎn)。

他們還想出了一種打破網(wǎng)絡(luò)隔離的方法，在獲得內(nèi)部路由器的訪問權(quán)限后，可以將其配置為代理服務(wù)器，使它能夠使用定制的工具從內(nèi)網(wǎng)網(wǎng)絡(luò)中傳輸出被竊取的數(shù)據(jù)，然后將其發(fā)送到遠(yuǎn)程服務(wù)器上。

他們說，在調(diào)查的過程中，研究人員發(fā)現(xiàn)了此次攻擊與之前發(fā)現(xiàn)的其他攻擊之間的聯(lián)系。其中一個被稱為DreamJob行動，另一個被稱為AppleJesus行動，這兩個攻擊都被懷疑是朝鮮APT所為。

卡巴斯基稱，"這項調(diào)查使我們能夠在Lazarus進(jìn)行的多個攻擊活動之間找到內(nèi)在的聯(lián)系"，并且也發(fā)現(xiàn)了該組織進(jìn)行各種攻擊時所使用的攻擊策略和各種基礎(chǔ)設(shè)施。

本文翻譯自：https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若轉(zhuǎn)載，請注明原文地址。