BlueNoroff是臭名昭著的Lazarus Group的一个子集群,据观察,它在其剧本中采用了新技术,使其能够绕过Windows Mark of the Web(MotW)保护。
这包括使用光盘映像 (.ISO 扩展名)和虚拟硬盘 (.VHD扩展名)文件格式作为新型感染链的一部分,卡巴斯基在今天发布的一份报告中披露。
安全研究员 Seongsu Park 说:“BlueNoroff 创建了大量冒充风险投资公司和银行的虚假域名,”并补充说,新的攻击程序于 2022 年 9 月在其遥测中被标记。一些虚假域名被发现模仿ABF Capital,Angel Bridge,ANOBAKA,美国银行和三菱UFJ金融集团,其中大部分位于日本,表明对该地区的“浓厚兴趣”。
BlueNoroff也被称为APT38,Nickel Gladstone和Stardust Chollima,是更大的Lazarus威胁组织的一部分,该组织还包括Andariel(又名Nickel Hyatt或Silent Chollima)和Labyrinth Chollima(又名Nickel Academy)。与间谍活动相反,威胁行为者的财务动机使其成为威胁领域中不寻常的民族国家行为者,允许“更广泛的地理分布”,并使其能够渗透到北美和南美,欧洲,非洲和亚洲的组织。
此后,它与2015年至2016年期间针对SWIFT银行网络的高调网络攻击有关,包括2016年2月大胆的孟加拉国银行抢劫案,导致8100万美元被盗。
至少自2018年以来,BlueNoroff似乎经历了战术转变,从打击银行转向只关注加密货币实体以产生非法收入。为此,卡巴斯基今年早些时候披露了一项名为SnatchCrypto的活动的细节,该活动由对抗性集体精心策划,旨在从受害者的加密货币钱包中抽取数字资金。
该组织的另一个关键活动是AppleJeus,其中成立了虚假的加密货币公司,以引诱不知情的受害者安装看起来不错的应用程序,这些应用程序最终会收到后门更新。
俄罗斯网络安全公司确定的最新活动引入了轻微的修改以传达其最终有效载荷,将Microsoft Word文档附件交换为鱼叉式网络钓鱼电子邮件中的ISO文件以触发感染。
这些光学图像文件,反过来,包含一个微软PowerPoint幻灯片(.PPSX) 和 Visual Basic 脚本 (VBScript),当目标单击 PowerPoint 文件中的链接时执行。在另一种方法中,通过利用离地二进制文件 (LOLBin) 来检索用于获取和执行远程有效负载的第二阶段下载器,从而启动与恶意软件相关的 Windows 批处理文件。
卡巴斯基还发现了一个.附带诱饵作业描述 PDF 文件的 VHD 示例,该文件被武器化以生成一个中间下载器,该下载器伪装成防病毒软件以获取下一阶段的有效负载,但不是在通过删除删除用户模式挂钩来禁用真正的 EDR 解决方案之前。
虽然交付的确切后门尚不清楚,但据评估,它类似于SnatchCrypto攻击中使用的持久性后门。其中一个诱饵文件使用日本文件名以及伪装成合法日本风险投资公司的欺诈性域名的创建表明,该岛国的金融公司很可能是BlueNoroff的目标。
网络战一直是朝鲜的主要关注点,以回应一些国家和联合国因担心其核计划而实施的经济制裁。它也已成为这个现金短缺的国家的主要收入来源。
事实上,根据韩国国家情报局(NIS)的数据,据估计,在过去五年中,国家支持的朝鲜黑客从世界各地的目标那里窃取了12亿美元的加密货币和其他数字资产。“这个团体有很强的财务动机,实际上成功地从他们的网络攻击中获利,”Park说。“这也表明,该组织的攻击在不久的将来不太可能减少。
原文始发于微信公众号(黑猫安全):BlueNoroff APT黑客使用新方法来绕过Windows MotW保护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论