外媒 1 月 25 日消息,趋势科技的安全专家于近期发布了有关 Lazarus APT 组织在最近针对金融机构的攻击中使用的恶意软件和工具。
Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的 *** 间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件都有关系。
在 2014 年和 2015 年,Lazarus 组织的活动激增,其成员主要使用定制化的恶意软件进行攻击,相关专家认为该组织的攻击方式非常复杂。
在上一次针对金融公司的活动中, *** 间谍利用与 Lazarus 有关的 RATANKBA 木马变种,发起了“水坑攻击”。
据悉,被称为 RATANKBA 的恶意软件只是 Lazarus 军火库中的武器之一。这个恶意软件自 2016 年年底以来一直活跃 ,其最近一次使用是在针对金融机构攻击活动中。
在这些攻击活动中使用的变种(TROJ_RATANKBA.A)提供了多种有效载荷,其中包括针对银行系统的黑客攻击工具和软件。 另一个新的 RATANKBA 变体(BKDR_RATANKBA.ZAEL – A)于 2017 年 6 月发现,主要使用 PowerShell 脚本而不是更传统的 PE 可执行形式。
专家们注意到,RATANKBA 木马是通过武器化的 Office 文档(包含与加密货币和软件开发相关的主题)、CHM 文件和脚本下载程序交付的。攻击者并没有实施与恶意软件的实时通信,一旦目标机器沦陷,攻击者将使用远程控制器工具将作业发送到系统,然后由 RATANKBA 处理作业队列,检索收集的信息。
恶意软件 RATANKBA 感染流程
研究人员称 Lazarus APT 使用的控制器工具实现了一个图形化的 UI 界面,允许黑客将代码推送到服务器并从中下载受害者配置文件。
在这次金融攻击的活动中,研究人员识别和入侵了 *** 间谍用来暂时存储被盗数据的服务器,随后发现大约 55% 的受害用户位于印度和邻国,这些用户大多数都没有使用微软软件的企业版本。据悉,受害用户的 IP 地址不属于大型银行或金融机构,趋势科技认为可能是印度三家 *** 软件开发公司或者韩国某家公司的雇员。
根据 Lazarus APT 组织成员的个人资料显示,趋势科技猜测黑客可能会是韩国本地人。目前鉴于 Lazarus 在其运营中善于使用各种各样的工具和技术,因此该组织很可能继续更新优化恶意活动的攻击策略。
报告详细内容可查阅:
<Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More>
消息来源: Security Affairs ,编译:榆榆,校审:FOX
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人...
在俄罗斯对乌克兰采取军事行动的几个月前,一队美国人在乌克兰各地寻找一种非常特殊的威胁。据悉,其中一些小组成员是美国陆军网络司令部的士兵,其他人则是民用承包商和一些美国公司的雇员,他们帮助保护关键基础设施免受俄罗斯机构对乌克兰采取的网络攻击。 自2015年乌克兰电网遭遇网络攻击进而导致基辅部分地区停...
不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。 这些网站包括乌克兰政府机构、...
援引 BBC News 报道,伦敦警方已经逮捕了 7 名青年,怀疑他们和近期非常猖獗的黑客组织 Lapsus$ 有关。在一份提交给 The Verge 的声明中,伦敦市警方的探长迈克尔·奥沙利文表示:“伦敦市警方一直在与合作伙伴一起对一个黑客组织的成员进行调查。在调查中有 7 名年龄在 16-21...
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的Las...
一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件...