大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,美国网络安全与基础设施安全局(CISA)发布了一组恶意软件分析报告(MARs),揭示了朝鲜黑客组织“拉撒路集团”(Lazarus Group)最新的网络攻击工具集。这些工具涵盖远程访问木马(RAT)、代理工具、加载器、内存驻留恶意软件等,展示了朝鲜在网络攻击技术上的持续进化与扩张。
这次曝光的恶意软件包括 BISTROMATH、HOPLIGHT、SLICKSHOES、CROWDEDFLOUNDER、HOTCROISSANT、ARTFULPIE 和 BUFFETLINE,它们各具特色,功能强大,专门用于远程控制、数据窃取、入侵持久化和流量混淆。
🔥 “拉撒路集团”最新武器库
🔹BISTROMATH:多功能远程控制木马(RAT)
BISTROMATH 是一个功能全面的远程访问木马(RAT),能够实现:
文件和进程操作
数据上传与窃取
远程控制摄像头、麦克风,进行键盘记录
劫持浏览器,窃取用户凭据
伪装文件时间戳,隐藏自身痕迹
它的感染方式极具隐蔽性,恶意代码被隐藏在图片文件中,运行后自动解码并加载木马。
🔹HOPLIGHT:高级流量混淆代理
HOPLIGHT 主要用于 隐匿黑客流量,可绕过安全监测,隐藏攻击者与受害系统之间的通信。其主要特点包括:
伪造SSL证书,实现加密流量传输
充当恶意C2服务器的代理,隐藏攻击者真实IP地址
配合其他恶意软件进行数据窃取
🔹SLICKSHOES:伪装启动的持久化加载器
SLICKSHOES 作为恶意软件的“搬运工”,负责加载和执行其他恶意代码,并实现远程控制。其特点包括:
伪装为 Windows 系统任务文件“taskenc.exe”
远程执行系统命令,窃取敏感信息
以60秒间隔向 C2 服务器发送心跳信号,确保攻击者随时能远程操控受害设备
🔹CROWDEDFLOUNDER:内存驻留型 RAT
CROWDEDFLOUNDER 主要依赖 “无文件攻击” 技术,在受害系统内存中运行,不写入磁盘,从而逃避杀毒软件检测。其核心功能包括:
伪装成合法进程,绕过防火墙
远程操控受害设备,进行横向渗透
通过动态XOR加密隐藏自身流量
🔹HOTCROISSANT:高级监听与远程控制工具
HOTCROISSANT 采用 信标通信(beaconing) 技术,攻击者可随时激活受害者的电脑并获取关键信息。该木马的特点包括:
监听受害设备,等待黑客远程操作指令
利用 XOR 加密传输数据,避免流量监测
目标信息一旦传输至 C2 服务器,黑客便可进行文件窃取、键盘记录、系统破坏等行动
🔹ARTFULPIE:恶意代码下载器
ARTFULPIE 的唯一任务就是下载和执行恶意DLL文件,其主要特点是:
具备动态更新能力,能远程加载最新恶意组件
通过加密连接隐藏下载来源,增加追踪难度
🔹BUFFETLINE:新一代远程控制木马
BUFFETLINE 结合了 RAT 与高级隐匿功能,是黑客远程控制的“全能选手”:
具备文件操作、系统侦查、进程管理等功能
可进行横向渗透,感染更多设备
采用 RC4加密 和 PolarSSL 身份验证,隐藏恶意流量
可窃取包括 IP地址、硬件信息、系统目录、计算机名称 在内的关键数据
🚨 网络安全警钟再响!如何防范?
朝鲜的黑客攻击手法正变得越来越复杂,企业和个人需要采取以下措施加强防护:
定期更新系统与安全补丁,避免已知漏洞被利用
限制PowerShell、WMI等远程管理工具,减少被滥用的可能性
部署网络流量监测,防止C2通信绕过安全策略
加强员工安全意识培训,警惕网络钓鱼邮件
启用多因素认证(MFA),提升账户安全性
🔚 结语
这次的“拉撒路集团”恶意软件曝光,向全球网络安全行业敲响了警钟。朝鲜的网络攻击不仅局限于金融领域,如今已涉及广泛的商业与政府机构。企业和个人必须提高警惕,防范新型威胁。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
免费知识星球,不定期提供网上资源,也作为与粉丝的沟通桥梁。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜黑客工具曝光!“拉撒路集团”最新恶意软件大揭秘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论