Lazarus Group的“梦想工作行动”
报告指出,臭名昭著的Lazarus Group是其中一起攻击事件的幕后黑手。该组织自2020年8月以来,通过一个名为“梦想工作行动”(Dream Job)的长期行动,多次利用社交工程手法渗透防务行业。Lazarus Group通过在LinkedIn等平台上创建虚假个人资料或利用被入侵的合法账户接触目标对象,建立信任后提供诱人的工作机会,最终将对话转移到WhatsApp等其他消息服务以进行招聘过程。
在这个过程中,受害者会收到带有恶意软件的编码任务和工作邀约文件。一旦打开,这些文件就会启动感染程序,攻陷受害者的电脑。报告强调:“通常情况下,员工不会与同事或雇主谈论工作邀约,这正好为攻击者提供了可乘之机。”
供应链攻击和防务研究中心入侵
第二起事件涉及在2022年底对一个防务研究中心的入侵。攻击者通过对一家负责维护该研究中心网页服务器的公司实施软件供应链攻击,成功侵入研究中心。攻击者利用研究中心的补丁管理系统(PMS)部署远程控制恶意软件,窃取了多个商业门户和电子邮件账户的信息。
这一攻击过程分为五个阶段:
1. 攻击维护公司,窃取SSH凭证,远程访问研究中心的服务器。
2. 使用curl命令下载额外的恶意工具,包括隧道软件和基于Python的下载器。
3. 进行横向移动,窃取员工账户凭证。
4. 利用被窃取的安全经理账户信息,尝试分发带有文件上传、下载、执行代码和收集系统信息功能的木马化更新。
5. 通过利用网站中的文件上传漏洞,部署Web shell以实现远程访问,并发送钓鱼邮件保持持久性。
报告指出,攻击者避免直接攻击目标,而是首先攻击其供应商——维护和维修公司,利用了两者之间的信任关系。
持续的网络威胁和应对策略
这份安全公告是BfV和NIS连续第二年发布的报告。2023年3月,双方警告称,Kimsuky黑客组织利用恶意浏览器扩展窃取用户的Gmail收件箱,Kimsuky在2023年11月被美国政府制裁。
此外,区块链分析公司Chainalysis透露,Lazarus Group在去年Sinbad被关闭后,转向使用YoMix比特币混合器洗钱,这表明其能够根据执法行动调整作案手法。Chainalysis表示:“Sinbad在2022年成为朝鲜黑客的首选混合器,此前Tornado Cash一直是他们的主要选择。随着Sinbad退出舞台,基于比特币的混合器YoMix成为了替代品。”
Lazarus Group旗下的多个黑客小组从事各种黑客活动,从网络间谍到加密货币盗窃、勒索软件和供应链攻击,以实现其战略目标。面对这些持续的网络威胁,各国政府和企业需加强网络安全防御措施,确保自身信息和系统的安全。
原文始发于微信公众号(紫队安全研究):朝鲜APT定向攻击全球防务公司,窃取先进军事技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论