Infosec biz F-Secure发现了一项朝鲜网络钓鱼活动,该活动以通用数据保护条例(GDPR)为主题的诱饵,针对具有伪造的Linkedin招聘广告的系统管理员。
这位威胁情报公司表示,这名系统管理员曾为一家加密货币公司工作。这使他成为了一个渴望资金的州立黑客Lazarus Group(又名APT38)的成熟目标,据称这是由朝鲜支持的。
“我们的研究包括对我们的事件响应,有控制的侦察和响应以及战术防御单位的见解,发现这次攻击与已知的拉撒路集团活动有许多相似之处,因此我们有信心他们是事件的幕后黑手。” F-Secure的检测和响应总监Matt Lawrence。
F-Secure表示,北朝鲜的攻击者针对英国,美国,荷兰,德国,新加坡,日本和至少八个其他国家的“加密货币垂直组织”。
最初的诱饵是作为LinkedIn消息的附件发送的感染了恶意软件的文件,敦促sysadmin收件人打开该文件以获取令人兴奋的新工作的详细信息。打开后,文件显示如下:
朝鲜拉撒路集团以GDPR为主题的诱惑
“如上图所示,该文档的恶意版本声称已受到通用数据保护条例(GDPR)的保护,并且需要在Word中启用内容才能访问该文档。然后,将启用内容导致恶意的嵌入式宏代码得以执行。” F-Secure说。
运行宏后下载的恶意文件与俄罗斯卡巴斯基实验室于2016年发现的以前的APT38工具具有相似之处。
“ Lazarus Group投入了巨大的努力来逃避目标组织在攻击过程中的防御,例如在受感染主机上禁用防病毒软件,并删除其恶意植入的证据。尽管该报告将攻击描述为复杂事件,但指出拉撒路集团隐藏他们的存在的努力还不足以阻止F-Secure的调查恢复其活动的证据。” F-Secure在罐头声明中说。
拉扎鲁斯集团以瞄准金融机构为目的,将资金吸回朝鲜,这是众所周知的。在西方领导的制裁下,朝鲜的经济停滞了数十年,旨在说服共产党专政不发展核武器。
2014年,由国家支持的黑客针对Sony Pictures,窃取了敏感的内部文件;2016年,他们从一家孟加拉银行偷走了8100万美元;一年后,据透露他们的目标是从赌场到从事金融软件工作的软件开发人员 ; 去年,他们通过为macOS部署内存内恶意软件,彻底超越了面目。该组织还被认为是Wannacry恶意软件的幕后黑手,该恶意软件暂时削弱了英国国家卫生服务系统。
机组人员以使用社会工程学诱饵来部署其恶意软件以及为身份留下如此明显的线索而闻名,Infosec研究人员通常会怀疑他们是否正在看到虚假的标志攻击。
【安全圈】9万服务器受影响 ,宝塔紧急出修复方案,快起来修漏洞
【安全圈】刚刚,字节跳动宣布8月25日起诉特朗普政府!
【安全圈】Google修复了主要的gmail漏洞
【安全圈】公安部“净网行动”抓捕江西传奇至尊等多家IDC五百余人
【安全圈】欧盟或推迟Twitter 数据泄露隐私案调查
【安全圈】研究人员对恶意AWS社区发出警报
【安全圈】特斯拉APP被曝安全漏洞
【安全圈】App上的隐私贩卖:窥探别人卧室 微型摄像头月销上万
【安全圈】骚扰短信提供线索!武汉网警打掉一个“黑客”团伙
【安全圈】南非益百利披露数据泄露影响2400万客户
【安全圈】涉案 3000 余万!苏州破获虚拟货币黑客案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论