朝鲜黑客Lazarus利用新型恶意软件攻击核组织

admin 2025年1月3日08:25:44评论79 views字数 1139阅读3分47秒阅读模式

朝鲜黑客Lazarus利用新型恶意软件攻击核组织

臭名昭著的 Lazarus Group 已经改进了其入侵策略,使用“CookiePlus”等更新和新型恶意软件来渗透国防、航空航天、加密货币和核工业的目标。卡巴斯基的最新分析揭示了该组织如何使用复杂的感染链和模块化恶意软件来增强持久性并在最近与其“DeathNote”或“Operation DreamJob”活动相关的一波攻击中逃避检测。
卡巴斯基研究人员称,该威胁组织在一个月内通过存档格式(ISO 和 ZIP)向同一核相关组织的至少两名员工发送了恶意文件。这些存档伪装成知名公司 IT 职位的技能评估。攻击者使用木马化的实用程序,如 AmazonVNC.exe(TightVNC 的修改版本),与合法的 UltraVNC 组件一起部署以欺骗目标。

朝鲜黑客Lazarus利用新型恶意软件攻击核组织

AmazonVNC.exe 充当木马化的远程访问实用程序,可解密 Ranid Downloader 等内部恶意资源,而 UltraVNC Viewer 是与恶意 vnclang.dll 配对的合法软件,后者充当 MISTPEN 等高级恶意软件的加载器。这种方法凸显了该组织将合法工具与恶意代码混合的能力,从而创建了分层感染链,以避免被发现。

朝鲜黑客Lazarus利用新型恶意软件攻击核组织

Lazarus 不断发展的工具包的关键元素包括新的恶意软件框架和插件:
  • CookieTime:该恶意软件最初在受感染的系统上观察到,现在从命令和控制 (C2) 服务器下载有效负载并执行命令。
  • CookiePlus:MISTPEN 的后继者,此下载程序伪装成 Notepad++ 插件并通过加密的 HTTP 标头进行通信。它采用高级解密技术来获取插件和其他有效负载,包括:
  • TBaseInfo.dll:收集系统信息。
  • Sleep.dll:根据外部参数暂停活动。
  • Hiber.dll:改变执行配置。
  • ServiceChanger:利用 SSH-agent 等合法服务侧载恶意 DLL,从而实现恶意软件的隐秘部署。

朝鲜黑客Lazarus利用新型恶意软件攻击核组织

攻击者利用被入侵的 WordPress 服务器作为 C2 基础设施,依靠基于 PHP 的服务来托管有效载荷。先进的加密和模块化设计使得确定感染范围变得十分困难。例如,CookiePlus 使用 ChaCha20 加密和 Base64 编码的 RSA 握手进行安全通信。模块化设计允许更换或扩展插件,表明该组织的工具正在积极开发和迭代改进。

朝鲜黑客Lazarus利用新型恶意软件攻击核组织

与朝鲜政府有关联的 Lazarus Group 是一个经验丰富的高级持续性威胁 (APT) 组织,以针对关键行业而闻名。使用 CookiePlus 等模块化恶意软件表明了他们的适应性,并专注于增强对安全防御的抵御能力。
防御这种复杂的威胁需要监控合法 VNC 实用程序的异常活动,采用检测 DLL 侧载的端点安全解决方案,并通过网络分段隔离敏感系统。

信息来源 :Cyberinsider

原文始发于微信公众号(犀牛安全):朝鲜黑客“Lazarus”利用新型恶意软件攻击核组织

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月3日08:25:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客Lazarus利用新型恶意软件攻击核组织https://cn-sec.com/archives/3586952.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息