Lazarus APT黑客正在使用BMP图像隐藏RAT恶意软件

已经发现由朝鲜威胁者针对其南方对手进行的鱼叉式网络钓鱼攻击将其恶意代码隐藏在位图（.BMP）图像文件中，从而丢弃了能够窃取敏感信息的远程访问木马（RAT）。

Malwarebytes的研究人员基于与对手采取的先前策略的相似性将攻击归因于Lazarus Group，他说，网络钓鱼活动始于4月13日分发带有恶意文件的电子邮件。

Malwarebytes研究人员说： “演员使用了一种聪明的方法来绕过安全机制，在该机制中，它已将其恶意HTA文件作为压缩的zlib文件嵌入到PNG文件中，然后在运行时通过将其自身转换为BMP格式进行了解压缩。” 。

“掉落的有效载荷是将第二阶段有效载荷解码并解密到内存中的加载程序。第二阶段有效载荷具有接收和执行命令/ shellcode以及执行与命令和控制服务器的通讯和通讯的能力。”

引诱文件（韩文）创建于2021年3月31日，据称是韩国其中一个城市的交易会的参与申请表，并提示用户首次打开宏时启用宏，仅执行攻击触发感染链的代码，最终删除了一个名为“ AppStore.exe”的可执行文件。

然后，有效负载继续提取附加到自身的加密第二阶段有效负载，并在运行时对其进行解码和解密，然后与远程服务器建立通信以接收其他命令，并将这些命令的结果发送回服务器。

研究人员说：“拉撒路威胁行动者是朝鲜最活跃，最复杂的威胁行动者之一，在过去的几年中，它已瞄准了包括韩国，美国和日本在内的几个国家。” “众所周知，Lazarus在其操作中采用了新技术和自定义工具集，以提高其攻击的效率。”

原文来自: thehackernews.com