AmazonVNC.exe 充当木马化的远程访问实用程序,可解密 Ranid Downloader 等内部恶意资源,而 UltraVNC Viewer 是与恶意 vnclang.dll 配对的合法软件,后者充当 MISTPEN 等高级恶意软件的加载器。这种方法凸显了该组织将合法工具与恶意代码混合的能力,从而创建了分层感染链,以避免被发现。
-
CookieTime:该恶意软件最初在受感染的系统上观察到,现在从命令和控制 (C2) 服务器下载有效负载并执行命令。 -
CookiePlus:MISTPEN 的后继者,此下载程序伪装成 Notepad++ 插件并通过加密的 HTTP 标头进行通信。它采用高级解密技术来获取插件和其他有效负载,包括: -
TBaseInfo.dll:收集系统信息。 -
Sleep.dll:根据外部参数暂停活动。 -
Hiber.dll:改变执行配置。 -
ServiceChanger:利用 SSH-agent 等合法服务侧载恶意 DLL,从而实现恶意软件的隐秘部署。
攻击者利用被入侵的 WordPress 服务器作为 C2 基础设施,依靠基于 PHP 的服务来托管有效载荷。先进的加密和模块化设计使得确定感染范围变得十分困难。例如,CookiePlus 使用 ChaCha20 加密和 Base64 编码的 RSA 握手进行安全通信。模块化设计允许更换或扩展插件,表明该组织的工具正在积极开发和迭代改进。
信息来源 :Cyberinsider
原文始发于微信公众号(犀牛安全):朝鲜黑客“Lazarus”利用新型恶意软件攻击核组织
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论