我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合生肖表 > 反病毒 >

加密货币企业仍然遭到Lazarus攻击

归档日期:05-17       文本归类:反病毒      文章编辑:爱尚语录

  对于关注网络威胁情报的人来说,Lazarus APT组织针对金融实体的攻击,尤其是针对加密货币交易所的攻击甚至已经算不上新闻了。经济收益仍然是Lazarus的主要目标之一,该威胁组织不断发展和演化其战术、技术和攻击流程,以躲避检测。

  2018年年中,我们发表了关于Applejeus攻击行动的研究,重点介绍了 Lazarus 对加密货币交易所的关注,使用一个假公司的包含后门程序的产品对加密货币公司进行攻击。其中一个重要的发现是该组织拥有一项新的能力,即对macOS进行攻击。此后,Lazarus一直忙于扩展该平台的运营。

  进一步跟踪他们针对金融行业的攻击行动后,我们发现了一个至少从2018年11月就开始的全新攻击行动。这种攻击使用PowerShell来控制Windows系统,使用macOS恶意软件来攻击苹果用户。

  Lazarus是一个组织良好的攻击组织,这一点可以从他们使用的恶意软件群体中可以看出:我们不仅可以看到他们构建冗余来保留一些恶意软件,以备在攻击行动中替换那些被检测到的样本,而且在开发后门时还遵循特定的内部标准和协议。在这次案例中也不例外。他们开发出定制的PowerShell脚本,能够与恶意C2服务器进行通讯,执行来自操作者发出的命令。C2服务器脚本名称被伪装成WordPress(常用的博客引擎)文件以及其他常用的开源项目。在与服务器建立恶意软件控制会话后,恶意软件提供的功能包括:

  Lazarus使用多种战术来运行自己的C2服务器:从购买服务器到使用被入侵的服务器。我们发现了一些很可能是被入侵的合法服务器被用来进行恶意攻击行动。根据服务器的响应标头,这些服务器很可能在Microsoft Windows Server 2003上运行旧的易受攻击的Internet信息服务(IIS)6.0实例。另一台C2服务器可能是Lazarus从一家托管公司购买的,被用来托管macOS和Windows有效负载。这些服务器的地理位置多变,从中国到欧盟都有。为什么使用两种不同类型的服务器呢?该攻击组织似乎有一个规则(至少在这次攻击行动中),即仅使用租赁的服务器来托管恶意软件,同时使用被入侵的服务器来托管用于恶意软件通讯的C2脚本。

  恶意软件是通过邮件文档进行传播的,这些邮件经过精心准备,目的是吸引加密货币从业人员的注意。参见以下用韩语撰写的文档,我们认为韩国的企业是Lazarus的重点攻击目标。一份标题为“风险企业商业计划评估样本文件”的文件(翻译自韩文)如下:

  另一个用于实施攻击的文档(e9a6a945803722be1556fd120ee81199)包含一份似乎是名为LAFIZ的中国技术咨询公司的业务概述。我们无法验证这个企业是否是合法的还是Lazarus虚构的一个公司。他们的网站lafiz[.]link从2017年起就已经停靠。

  根据我们的遥测数据,我们发现一家加密货币交易公司遭到包含同样宏的恶意文档的攻击。该文档内容中提供了货币列表信息,并附带韩语翻译:

  有效负载显示,Lazarus利用多种方式躲避检测,以确保不被发现。该攻击组织分别为32位和64位Windows平台开发了恶意软件,而且在编译代码方面变化很多。从托管Mac恶意软件的服务器(nzssdm [.] com)分发的Windows有效负载具有CheckSelf导出功能,其中一个(668d5b5761755c9d061da74cb21a8b75)的内部名称为“battle64.dll”。从这一点,我们设法找到了包含CheckSelf导出功能的其他Windows恶意软件样本,其内部名称包含“battle”(战斗)一词。

  这些Windows恶意软件样本通过使用恶意的HWP(韩文字处理器格式)文档,利用一个已知的PostScript脚本漏洞进行传播。需要注意的是,HWP文档只在韩国用户(韩文字处理格式是由韩国开发的)中常见,我们已经几次使用相同方法的攻击。

  苹果产品在成功的互联网创业公司和金融科技公司中非常受欢迎,这已经不再是秘密,这也是网络罪犯开始使用macOS恶意软件的原因。在对早期的Lazarus事件进行调查时,我们预测这个攻击组织迟早会将其攻击延伸到macOS平台。

  看来Lazarus正在使用相同的开发人员将攻击拓展到其他平台,因为尽管这些恶意软件在不断演化,但某些特征一直保持一致。

  所以,我们提醒Windows和macOS用户保持谨慎,避免成为Lazarus的受害者。如果您属于蓬勃发展的加密货币行业或技术创业公司,在处理新的第三方或在您的系统上安装软件时要格外小心。 最好使用防病毒软件检查新安装的软件,或者至少使用常用的免费病毒扫描服务例如VirusTotal进行反病毒扫描。还有,对于新接收到的或来自不受信任来源的Office文档,不要开启“激活内容“(宏脚本)功能。如果您需要试用最新的应用程序,避免不要被来自Lazarus的假冒或后门软件所感染。进行这些操作时,最好保持离线或在隔离的网络虚拟机上进行,这样您可以通过点击几下鼠标即可消除感染。我们将会继续在博客中更新有关Lazarus的最新战略和技巧。于此同时,卡巴斯基实验室大中华区总经理郑启良希望用户保持安全和警惕!

本文链接:http://oms15.com/fanbingdu/258.html