2021年11月,谷歌在其新发布的威胁地平线报告中称,与朝鲜政府相关的Lazarus APT组织展开了鱼叉式网络钓鱼活动。此次活动针对的目标是销售反恶意软件的韩国安全公司,攻击者冒充三星招聘人员,向安全公司的员工发送了虚假的工作机会。
Lazarus组织在攻击活动中向安全公司的员工发送了虚假的工作机会。发送的电子邮件包含一份 PDF,据称是三星某个职位的具体描述。但是,邮件中的PDF 格式错误,无法在标准 PDF 阅读器中打开。当受害目标回复称无法打开职位描述时,攻击者会回复一个指向恶意软件的链接,声称该链接是存储在 Google Drive中的“安全 PDF 阅读器”。
谷歌表示,这个文件是PDFTron的修改版本。PDFTron是一个合法的 PDF 阅读器,这个修改版本可以在受害者的计算机上安装后门木马。
Lazarus组织又名Zinc,至少从 2009 年开始活跃,疑似由朝鲜政府支持,是大规模 WannaCry 勒索软件攻击、 SWIFT攻击以及针对Sony营业攻击的幕后黑手。
Lazarus组织通过多个社交网络平台攻击研究人员,包括 Twitter、LinkedIn、Telegram、Discord 和 Keybase。2020 年年中,Lazarus组织为虚假安全研究人员创建了 Twitter 个人账户,用于转发安全内容和发布有关漏洞研究的信息。Twitter账户如下图:
Lazarus组织使用 Twitter 个人资料分享他们运营的博客 ( br0vvnn[.]io ) 的链接,分享声称是漏洞利用的视频,转发他们运营的其他帐户的帖子。在建立初始通信后,攻击者会询问目标是否要共同进行漏洞研究,然后与其共享 Visual Studio 项目。攻击者使用的 Visual Studio 项目包括漏洞利用的源代码以及一个额外的 DLL,该 DLL是一个后门,允许攻击者接管目标的计算机。
此前,攻击者曾通过twitter发布题为“DOS2RCE:一种利用 V8 NULL 指针解除引用错误的新技术”的文章。在2020 年 10 月 19 日至 21 日期间,使用 Chrome 浏览器访问该帖子的研究人员感染了已知的Lazarus恶意软件。一些受害者使用的是完全打补丁的浏览器,这表明攻击者使用了 0-day 漏洞。
Lazarus组织还使用其他技术来针对安全专业人员,例如,在某些情况下,该组织将博客文章作为 MHTML 文件分发,文件包含一些模糊的 JavaScript,这些 JavaScript 指向 ZINC 控制的域,以便进一步执行 JavaScript。攻击者曾试图利用 Vir.IT eXplorer 防病毒产品中的 CVE-2017-16238 漏洞,但没有成功。
在2020年底和2021年全年,Lazarus组织通过社交网络平台多次攻击研究人员。最近针对韩国反恶意软件的攻击表明,攻击者企图破坏韩国安全组织的供应链以针对其客户。
PS:每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件
关注微信公众号:安恒威胁情报中心
获取一手原创安全分析报告