最近在一起針對韓國實體的魚叉式網(wǎng)絡(luò)釣魚活動中發(fā)現(xiàn)，與朝鮮有關(guān)的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測。

[[394721]]

隱藏在.BMP圖像種的惡意代碼可以在受害者的系統(tǒng)上安裝一個遠(yuǎn)程訪問木馬(RAT)，使攻擊者可以竊取敏感信息。

來自Malwarebytes的研究人員表示，此次網(wǎng)絡(luò)釣魚活動是由分發(fā)帶有惡意文件的電子郵件開始的，并且研究人員于4月13日發(fā)現(xiàn)了該文件。

此次釣魚郵件所創(chuàng)建的誘騙文件聲稱是韓國某個城市的博覽會的參與申請表，并提示用戶在首次打開時啟用宏。

該宏首先調(diào)用MsgBoxOKCancel函數(shù)，向用戶彈出一個消息框，聲稱是微軟Office的舊版本。在后臺，該宏調(diào)用一個壓縮為zlib文件的可執(zhí)行HTA文件，該文件被包含在一個整體的PNG圖像文件中。

該宏還通過調(diào)用WIA_ConvertImage函數(shù)將PNG格式的圖像轉(zhuǎn)換為BMP格式。專家指出，將PNG文件格式轉(zhuǎn)換為BMP文件格式會自動解壓從PNG嵌入到BMP的惡意zlib對象，因為BMP文件格式是未壓縮的圖形文件格式。利用這個技巧，攻擊者可以避免檢測到圖像內(nèi)的嵌入對象。

之后用戶會觸發(fā)感染鏈的攻擊代碼，最終投放一個名為 "AppStore.exe "的可執(zhí)行文件。

然后，該有效載荷繼續(xù)提取附加在自己身上的加密的第二階段有效載荷，在運行時進行解碼和解密，接著與遠(yuǎn)程服務(wù)器建立通信，接收額外的命令，并將這些命令的結(jié)果傳回服務(wù)器。

此次活動與過去的Lazarus行動有許多相似之處，例如第二階段的有效載荷使用了與Lazarus相關(guān)的BISTROMATH RAT所使用的類似的自定義加密算法。

Lazarus APT組織背景

Lazarus APT組織至少從2009年就開始活躍，一般認(rèn)為該組織與朝鮮有關(guān)。其攻擊方式主要是利用惡意軟件。

該組織參與了眾多網(wǎng)絡(luò)間諜活動和破壞活動，擁有豐厚的“戰(zhàn)績”。一般認(rèn)為該組織與大規(guī)模的WannaCry勒索軟件攻擊有關(guān)，此外，2016年的大量SWIFT攻擊和索尼影業(yè)遭受的黑客攻擊也被認(rèn)為與該組織有所聯(lián)系。

根據(jù)卡巴斯基2020年發(fā)布的報告，近兩年，該組織持續(xù)針對加密貨幣交易所來演變其TTP。