E安全3月4日讯 卡巴斯基的研究人员表示,由朝鲜支持的高级持久威胁组织Lazarus一直在利用一种名为“威胁针”的后门,对十几个国家的国防工业目标进行打击。这种后门可以在网络中横向移动,消除网络细分。
研究人员指出,这项始于2020年的网络攻击行动正在进行中,它使用了一种多步骤方法,以鱼叉式网络钓鱼攻击开始,最终导致Lazarus完全控制了受害者的设备。
卡巴斯基高级威胁研究人员表示:“我们观察到他们如何通过访问内部路由器并将其配置为代理服务器来克服网络分割,允许他们将窃取的数据从内部网窃取到他们的远程服务器。”
据悉,这并非Lazarus首次使用“威胁针”后门,“威胁针”后门也被称为APT38和隐藏的眼镜蛇。研究人员指出,从2018年2月开始,朝鲜黑客集团开始利用它来对抗香港的一家加密货币交易所和一家未具名的手机游戏开发商。
早前,三名与Lazarus有关的朝鲜人被美国司法部起诉,指控称,他们试图从世界各地的银行和其他组织窃取或勒索13亿美元的加密货币和现金。目前尚不清楚这三人是否参与了卡巴斯基的攻击。
根据报告,一旦下载并运行,该恶意软件即可操纵文件和目录,进行系统配置文件,控制后门进程,强制设备进入睡眠或休眠模式,更新后门配置并执行接收到的命令。
卡巴斯基的研究人员指出,对国防承包商和其他经营工业工厂的潜在目标来说,最危险的方面是Lazarus克服网络分割防御和横向移动到与互联网隔离的网络的能力。
卡巴斯基对一个受害者进行了分析,该受害者将其网络分成了两个部分,一个是企业网络,另一个是承载敏感数据的受限制网络,但不能直接上网。卡巴斯基认为,它已经建立了网络,因此在两个网段之间无法共享数据。
公司部门的IT管理员可以连接到禁区进行维护,攻击者在恶意软件彻底感染了包括IT部门的计算机在内的公司网络后,发现了此漏洞。
研究人员说:“攻击者扫描路由器的端口并检测到Webmin界面。接下来,攻击者使用特权根帐户登录到Web界面。”这有效地将公司的服务器变成了代理,从而使恶意软件可以下载到网络的分段部分并删除数据。
据悉,网络钓鱼电子邮件本身是基本的,其中包含恶意的Microsoft Word文档或指向恶意远程服务器的链接。这些攻击中的社会工程学使用目标感兴趣的主题。此外,报告指出,攻击者会将内容伪装成来自受攻击的组织。
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼稿件合作 15558192959
小E微信号:Eanquan0914
喜欢记得打赏小E哦!
本文始发于微信公众号(E安全):高级威胁组织Lazarus以Threat Needle恶意软件攻击国防公司
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论