外媒 1 月 25 日消息,趋势科技的安全专家于近期发布了有关 Lazarus APT 组织在最近针对金融机构的攻击中使用的恶意软件和工具。
Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的 *** 间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件都有关系。
在 2014 年和 2015 年,Lazarus 组织的活动激增,其成员主要使用定制化的恶意软件进行攻击,相关专家认为该组织的攻击方式非常复杂。
在上一次针对金融公司的活动中, *** 间谍利用与 Lazarus 有关的 RATANKBA 木马变种,发起了“水坑攻击”。
据悉,被称为 RATANKBA 的恶意软件只是 Lazarus 军火库中的武器之一。这个恶意软件自 2016 年年底以来一直活跃 ,其最近一次使用是在针对金融机构攻击活动中。
在这些攻击活动中使用的变种(TROJ_RATANKBA.A)提供了多种有效载荷,其中包括针对银行系统的黑客攻击工具和软件。 另一个新的 RATANKBA 变体(BKDR_RATANKBA.ZAEL – A)于 2017 年 6 月发现,主要使用 PowerShell 脚本而不是更传统的 PE 可执行形式。
专家们注意到,RATANKBA 木马是通过武器化的 Office 文档(包含与加密货币和软件开发相关的主题)、CHM 文件和脚本下载程序交付的。攻击者并没有实施与恶意软件的实时通信,一旦目标机器沦陷,攻击者将使用远程控制器工具将作业发送到系统,然后由 RATANKBA 处理作业队列,检索收集的信息。
恶意软件 RATANKBA 感染流程
研究人员称 Lazarus APT 使用的控制器工具实现了一个图形化的 UI 界面,允许黑客将代码推送到服务器并从中下载受害者配置文件。
在这次金融攻击的活动中,研究人员识别和入侵了 *** 间谍用来暂时存储被盗数据的服务器,随后发现大约 55% 的受害用户位于印度和邻国,这些用户大多数都没有使用微软软件的企业版本。据悉,受害用户的 IP 地址不属于大型银行或金融机构,趋势科技认为可能是印度三家 *** 软件开发公司或者韩国某家公司的雇员。
根据 Lazarus APT 组织成员的个人资料显示,趋势科技猜测黑客可能会是韩国本地人。目前鉴于 Lazarus 在其运营中善于使用各种各样的工具和技术,因此该组织很可能继续更新优化恶意活动的攻击策略。
报告详细内容可查阅:
<Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More>
消息来源: Security Affairs ,编译:榆榆,校审:FOX
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT ...
3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人...
据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻...
美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可...
Hackernews编译,转载请注明出处: 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面,今年它针对4家公司进行新入侵行动,其中包括俄罗斯最大的批发商店之一,同时对其工具集进行了战术性改进,以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中,攻击者都展示了广泛的...
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的...