Lazarus集团利用CookiePlus恶意软件攻击核工业

卡巴斯基旗下的Securelist发布了最新威胁情报报告,重点关注臭名昭著的Lazarus黑客组织的活动,据我们所知,该组织与朝鲜政府有联系。

根据Securelist的研究,Lazarus集团最近将重点转向针对核工业领域的个人。这表明他们的行动即将升级,因为他们之前专注于国防、航空航天和加密货币等领域。

报告中写道:“我们观察到了一次类似的攻击,Lazarus组织在一个月内向至少两名与同一核相关组织有关的员工提供了包含恶意文件的档案文件。”

卡巴斯基观察到的攻击发生在2024年1月,遵循使用虚假招聘信息的模式,这种策略被称为“死亡笔记”活动或“梦想工作行动”。

这类诈骗包括创建虚假的招聘信息,用诱人的就业机会引诱潜在受害者。在“面试”过程中,恶意文件会巧妙地引入,通常伪装成合法的评估测试。

攻击以伪装成知名公司职位评估的初始文件开始,其中包含带有恶意可执行文件或VNC查看器等木马合法工具的ZIP存档。

一旦执行,该木马就会提示受害者通过单独的通信渠道(如Messenger应用)输入攻击者提供的IP地址。这让攻击者能够未经授权访问受感染的机器,使他们能够在网络中横向移动,并可能窃取敏感数据或破坏关键操作。

根据IP地址生成XOR密钥,以解密VNC可执行文件的内部资源并解压数据。解压后的数据随后由Ranid Downloader下载,后者会获取更多恶意负载,例如MISTPEN、RollMid、LPEClient、Charamel Loader、ServiceChanger和CookiePlus。负载类型(DLL或shellcode)由数据结构中的标志决定。这些插件的执行结果将被加密并发送回C2服务器。

近期攻击的一个关键创新是引入了“CookiePlus”,这是一种新型的基于插件的恶意软件。此下载程序主要在内存中运行,动态加载恶意负载。这种规避技术使传统安全解决方案更难检测和缓解威胁。

CookiePlus的开发表明Lazaru集团不断努力改进其工具并逃避检测。通过引入新的模块化恶意软件并调整其策略,他们旨在在目标网络中保持持久存在并实现其目标。

该组织最近特别活跃。11月,Group-IB发现了Lazarus组织的新木马“RustyAttr”,该木马将恶意代码隐藏在macOS系统的扩展属性中;10月,该组织利用Google Chrome零日漏洞,通过一款欺骗性的NFT游戏瞄准加密货币投资者。这要求我们时刻保持警惕,以保护您的数字资产。

发表评论

评论已关闭。

相关文章