朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘

admin 2025年2月18日21:13:15评论37 views字数 1866阅读6分13秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘

近日,美国网络安全与基础设施安全局(CISA)发布了一组恶意软件分析报告(MARs),揭示了朝鲜黑客组织“拉撒路集团”(Lazarus Group)最新的网络攻击工具集。这些工具涵盖远程访问木马(RAT)、代理工具、加载器、内存驻留恶意软件等,展示了朝鲜在网络攻击技术上的持续进化与扩张。  

这次曝光的恶意软件包括 BISTROMATH、HOPLIGHT、SLICKSHOES、CROWDEDFLOUNDER、HOTCROISSANT、ARTFULPIE 和 BUFFETLINE,它们各具特色,功能强大,专门用于远程控制、数据窃取、入侵持久化和流量混淆。  

🔥 “拉撒路集团”最新武器库

 🔹BISTROMATH:多功能远程控制木马(RAT)  

BISTROMATH 是一个功能全面的远程访问木马(RAT),能够实现:  

文件和进程操作  

数据上传与窃取  

远程控制摄像头、麦克风,进行键盘记录  

劫持浏览器,窃取用户凭据  

伪装文件时间戳,隐藏自身痕迹  

它的感染方式极具隐蔽性,恶意代码被隐藏在图片文件中,运行后自动解码并加载木马。  

 🔹HOPLIGHT:高级流量混淆代理  

HOPLIGHT 主要用于 隐匿黑客流量,可绕过安全监测,隐藏攻击者与受害系统之间的通信。其主要特点包括:  

伪造SSL证书,实现加密流量传输  

充当恶意C2服务器的代理,隐藏攻击者真实IP地址  

配合其他恶意软件进行数据窃取  

 🔹SLICKSHOES:伪装启动的持久化加载器  

SLICKSHOES 作为恶意软件的“搬运工”,负责加载和执行其他恶意代码,并实现远程控制。其特点包括:  

伪装为 Windows 系统任务文件“taskenc.exe”  

远程执行系统命令,窃取敏感信息  

以60秒间隔向 C2 服务器发送心跳信号,确保攻击者随时能远程操控受害设备  

 🔹CROWDEDFLOUNDER:内存驻留型 RAT  

CROWDEDFLOUNDER 主要依赖 “无文件攻击” 技术,在受害系统内存中运行,不写入磁盘,从而逃避杀毒软件检测。其核心功能包括:  

伪装成合法进程,绕过防火墙  

远程操控受害设备,进行横向渗透  

通过动态XOR加密隐藏自身流量  

 🔹HOTCROISSANT:高级监听与远程控制工具  

HOTCROISSANT 采用 信标通信(beaconing) 技术,攻击者可随时激活受害者的电脑并获取关键信息。该木马的特点包括:  

监听受害设备,等待黑客远程操作指令  

利用 XOR 加密传输数据,避免流量监测  

目标信息一旦传输至 C2 服务器,黑客便可进行文件窃取、键盘记录、系统破坏等行动  

 🔹ARTFULPIE:恶意代码下载器  

ARTFULPIE 的唯一任务就是下载和执行恶意DLL文件,其主要特点是:  

具备动态更新能力,能远程加载最新恶意组件  

通过加密连接隐藏下载来源,增加追踪难度  

 🔹BUFFETLINE:新一代远程控制木马  

BUFFETLINE 结合了 RAT 与高级隐匿功能,是黑客远程控制的“全能选手”:  

具备文件操作、系统侦查、进程管理等功能  

可进行横向渗透,感染更多设备  

采用 RC4加密 和 PolarSSL 身份验证,隐藏恶意流量  

可窃取包括 IP地址、硬件信息、系统目录、计算机名称 在内的关键数据  

🚨 网络安全警钟再响!如何防范?

朝鲜的黑客攻击手法正变得越来越复杂,企业和个人需要采取以下措施加强防护:  

定期更新系统与安全补丁,避免已知漏洞被利用  

限制PowerShell、WMI等远程管理工具,减少被滥用的可能性  

部署网络流量监测,防止C2通信绕过安全策略  

加强员工安全意识培训,警惕网络钓鱼邮件  

启用多因素认证(MFA),提升账户安全性  

🔚 结语

这次的“拉撒路集团”恶意软件曝光,向全球网络安全行业敲响了警钟。朝鲜的网络攻击不仅局限于金融领域,如今已涉及广泛的商业与政府机构。企业和个人必须提高警惕,防范新型威胁。  

推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。

朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘

免费知识星球,不定期提供网上资源,也作为与粉丝的沟通桥梁。

朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):朝鲜黑客工具曝光!“拉撒路集团”最新恶意软件大揭秘

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月18日21:13:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客工具曝光!拉撒路集团最新恶意软件大揭秘https://cn-sec.com/archives/3751390.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息