Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

admin 2021年4月21日21:33:01评论86 views字数 936阅读3分7秒阅读模式

更多全球网络安全资讯尽在邑安全

Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

已经发现由朝鲜威胁者针对其南方对手进行的鱼叉式网络钓鱼攻击将其恶意代码隐藏在位图(.BMP)图像文件中,从而丢弃了能够窃取敏感信息的远程访问木马(RAT)。

Malwarebytes的研究人员基于与对手采取的先前策略的相似性将攻击归因于Lazarus Group,他说,网络钓鱼活动始于4月13日分发带有恶意文件的电子邮件。

Malwarebytes研究人员说: “演员使用了一种聪明的方法来绕过安全机制,在该机制中,它已将其恶意HTA文件作为压缩的zlib文件嵌入到PNG文件中,然后在运行时通过将其自身转换为BMP格式进行了解压缩。” 

“掉落的有效载荷是将第二阶段有效载荷解码并解密到内存中的加载程序。第二阶段有效载荷具有接收和执行命令/ shellcode以及执行与命令和控制服务器的通讯和通讯的能力。”

Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

引诱文件(韩文)创建于2021年3月31日,据称是韩国其中一个城市的交易会的参与申请表,并提示用户首次打开宏时启用宏,仅执行攻击触发感染链的代码,最终删除了一个名为“ AppStore.exe”的可执行文件。

然后,有效负载继续提取附加到自身的加密第二阶段有效负载,并在运行时对其进行解码和解密,然后与远程服务器建立通信以接收其他命令,并将这些命令的结果发送回服务器。

研究人员说:“拉撒路威胁行动者是朝鲜最活跃,最复杂的威胁行动者之一,在过去的几年中,它已瞄准了包括韩国,美国和日本在内的几个国家。” “众所周知,Lazarus在其操作中采用了新技术和自定义工具集,以提高其攻击的效率。”

原文来自: thehackernews.com

原文链接: https://thehackernews.com/2021/04/lazarus-apt-hackers-are-now-using-bmp.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月21日21:33:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件https://cn-sec.com/archives/340214.html

发表评论

匿名网友 填写信息