目录
1. 概述
2.2 以韩国企业"大宇造船"相关话题为诱饵
3. 样本分析
3.2 以韩国企业"大宇造船"相关话题为诱饵样本
4. 关联分析
5.结论
附录-IOC
Lazarus组织为境外大型APT组织,是当前活跃度最高的APT组织之一。该组织实力强劲,其攻击目标涵盖政府、国防、研究中心、金融、能源、航空航天、运输、加密货币等诸多具有高经济价值的行业领域,并且擅长针对不同行业实施精准的社会工程学攻击。
-
攻击者在此次攻击活动中冒充德国军工企业“莱茵金属”公司,以“工作要求”为主题向目标投递带有恶意宏的诱饵文档,Lazarus组织经常以目标所在行业头部企业的招聘信息为诱饵进行攻击活动; -
此外还以韩国军工企业“大宇造船”相关话题为诱饵进行攻击; -
诱饵文档中的恶意宏利用多阶段组件来执行恶意行为,最终加载执行远控模块,实现对目标主机的远程控制; -
攻击者将事先入侵的站点作为C2通信服务器,这在Lazarus以往的攻击活动中经常看到; -
结合该组织以往攻击活动样本分析,从执行流程上看具有高度相似性,但细节有一定程度变化,表明攻击者在持续开发并优化其攻击组件; -
微步情报局通过对相关样本、IP和域名的溯源分析,提取多条相关IOC用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。
3.2 以韩国企业“大宇造船”相关话题为诱饵样本
- END -
公众号内回复“la”,可获取完整 PDF(含 IOC) 报告。
关于微步在线研究响应团队
内容转载与引用
本文始发于微信公众号(微步在线研究响应中心):Lazarus 近期针对军工等行业的定向攻击活动分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论