外媒 1 月 25 日消息，趋势科技的安全专家于近期发布了有关 Lazarus APT 组织在最近针对金融机构的攻击中使用的恶意软件和工具。

Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的 *** 间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件都有关系。

在 2014 年和 2015 年，Lazarus 组织的活动激增，其成员主要使用定制化的恶意软件进行攻击，相关专家认为该组织的攻击方式非常复杂。

在上一次针对金融公司的活动中， *** 间谍利用与 Lazarus 有关的 RATANKBA 木马变种，发起了“水坑攻击”。

据悉，被称为 RATANKBA 的恶意软件只是 Lazarus 军火库中的武器之一。这个恶意软件自 2016 年年底以来一直活跃 ，其最近一次使用是在针对金融机构攻击活动中。

在这些攻击活动中使用的变种（TROJ_RATANKBA.A）提供了多种有效载荷，其中包括针对银行系统的黑客攻击工具和软件。 另一个新的 RATANKBA 变体（BKDR_RATANKBA.ZAEL – A）于 2017 年 6 月发现，主要使用 PowerShell 脚本而不是更传统的 PE 可执行形式。

专家们注意到，RATANKBA 木马是通过武器化的 Office 文档（包含与加密货币和软件开发相关的主题）、CHM 文件和脚本下载程序交付的。攻击者并没有实施与恶意软件的实时通信，一旦目标机器沦陷，攻击者将使用远程控制器工具将作业发送到系统，然后由 RATANKBA 处理作业队列，检索收集的信息。

恶意软件 RATANKBA 感染流程

研究人员称 Lazarus APT 使用的控制器工具实现了一个图形化的 UI 界面，允许黑客将代码推送到服务器并从中下载受害者配置文件。

在这次金融攻击的活动中，研究人员识别和入侵了 *** 间谍用来暂时存储被盗数据的服务器，随后发现大约 55％ 的受害用户位于印度和邻国，这些用户大多数都没有使用微软软件的企业版本。据悉，受害用户的 IP 地址不属于大型银行或金融机构，趋势科技认为可能是印度三家 *** 软件开发公司或者韩国某家公司的雇员。

根据 Lazarus APT 组织成员的个人资料显示，趋势科技猜测黑客可能会是韩国本地人。目前鉴于 Lazarus  在其运营中善于使用各种各样的工具和技术，因此该组织很可能继续更新优化恶意活动的攻击策略。

报告详细内容可查阅：

<Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More>

消息来源： Security Affairs ，编译：榆榆，校审：FOX

本文由 HackerNews.cc 翻译整理，封面来源于 *** 。

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。