新的研究显示,一个曾经作案多起的被称为Lazarus的朝鲜APT组织最近发动了一次鱼叉式钓鱼攻击活动,他们通过利用一个名为ThreatNeedle的高级恶意软件从国防部门窃取了大量关键数据。
根据卡巴斯基的说法,他们在2020年中期首次观察到了这种攻击活动。这场攻击持续时间很长,网络攻击者在这里使用了带有COVID-19主题的电子邮件并结合了受害者的公开的个人信息,这样使得他们很容易上当受骗。
卡巴斯基研究人员Vyacheslav Kopeytsev和Seongsu Park在周四发表的一篇博客文章中表示,他们确定有十多个国家的组织在此次攻击中受到了影响。他们说,犯罪分子成功地窃取了敏感数据,并将其传输到了Lazazrus控制的远程服务器上。
研究人员表示,他们已经跟踪Manuscrypt(又名NukeSped)的高级恶意软件集群ThreatNeedle大约两年了,最后发现Lazarus APT是幕后指使者。
卡巴斯基称,根据恶意攻击的目标,
我们将Lazarus评选为2020年最活跃的网络犯罪团伙,因为这个臭名昭著的APT会针对各行各业进行攻击。
研究人员观察到,虽然此前该组织主要是在为金正恩政府争取资金,但现在其关注点已经转移到了网络间谍活动上。他们不仅针对国防部门进行攻击活动,而且还对其他行业进行攻击,如12月披露的窃取COVID-19疫苗信息的攻击事件和针对安全研究人员的攻击事件。
研究人员仔细研究了最新攻击活动的整个过程,他们说这有助于他们深入了解Lazarus的攻击特点,以及各个攻击活动之间的联系。研究人员说,该组织主要使用电子邮件进行攻击,邮件内容是关于COVID-19的,他们还会在邮件内容中提及受害者的个人信息,这样可以降低受害者的警惕性,也使邮件看起来更加合法合理。
卡巴斯基称,Lazarus在选择攻击目标之前已经做足了信息调查,但刚开始进行的鱼叉式钓鱼攻击进行的并不顺利。在发起攻击之前,该组织研究了目标组织的公开信息,并找到了该公司各部门的电子邮件地址。
研究人员表示,犯罪分子制作了有关COVID-19内容的钓鱼邮件,这些邮件要么附上了一个恶意的Word文档,或者包含了一个托管在远程服务器上的链接,这些恶意邮件都会发送到目标部门的各个电子邮件地址中。
Kopeytsev和Park说:
这些钓鱼邮件是精心制作的,邮件的署名是一个医疗中心,同时该医疗中心也是此次攻击的受害者。
为了使电子邮件看起来更加真实,攻击者在公共电子邮件服务中注册了账户,这样可以使发件人的电子邮件地址与医疗中心的真实电子邮件地址看起来很相似,同时在电子邮件签名中使用了被攻击的医疗中心副主任医生的个人资料。
然而,研究人员观察到这些攻击中存在一些失误。攻击的有效载荷被隐藏在了一个启用了宏的微软Word文档的附件中。然而,该文档的内容却是关于人口健康评估程序的信息,而不是有关COVID-19的信息,研究人员说,这意味着网络攻击者可能实际上并没有完全理解他们在攻击中所利用的电子邮件的内容。
最初进行的鱼叉式钓鱼攻击也没有成功,这是因为目标系统的微软Office中禁用了宏功能。为了使目标运行恶意宏代码,攻击者随后又发送出了一封邮件,展示如何在微软Office中启用宏功能。但据研究人员观察,那封邮件发送的启用宏的方法也与受害者所使用的Office版本不兼容,因此攻击者不得不再发一封邮件来解释。
研究人员表示,攻击者最终是在6月3日攻击成功,当时员工打开了其中的一个恶意文档,使攻击者获得了对受感染系统的远程控制权限。
恶意软件一旦被部署,ThreatNeedle会经过三个阶段来完成攻击过程,ThreatNeedle由安装程序、加载器和后门组成,该软件能够操纵文件和目录、进行系统分析、控制后门进程、执行接收到的命令等。
研究人员称,攻击者进入系统后,他们会继续使用一个名为Responder的工具来收集凭证,然后进行横向移动,寻找受害者网络环境中的重要资产。
他们还想出了一种打破网络隔离的方法,在获得内部路由器的访问权限后,可以将其配置为代理服务器,使它能够使用定制的工具从内网网络中传输出被窃取的数据,然后将其发送到远程服务器上。
他们说,在调查的过程中,研究人员发现了此次攻击与之前发现的其他攻击之间的联系。其中一个被称为DreamJob行动,另一个被称为AppleJesus行动,这两个攻击都被怀疑是朝鲜APT所为。
卡巴斯基称,"这项调查使我们能够在Lazarus进行的多个攻击活动之间找到内在的联系",并且也发现了该组织进行各种攻击时所使用的攻击策略和各种基础设施。
本文翻译自:https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若转载,请注明原文地址。