标签: 拉撒路

知名杀毒巨头迈克菲:朝鲜加密货币黑客攻击范围蔓延到传统金融系统,土耳其首当其冲

近日,杀毒巨头迈克菲(McAfee)发布了一份报告,其中发现土耳其金融行业最近遭受的网络攻击可能和朝鲜黑客有关,不仅如此,迈克菲安全威胁高级研究小组还发现,本次企图破坏土耳其政府支持的金融机构的非法组织,可能是朝鲜加密货币黑客集团 Hidden Cobra (又名 Lazarus)。 虽然迈克菲没有给出明确指出黑客名称,但他们在报告中提到,本次攻击土耳其金融机构的黑客代码与朝鲜加密货币黑客手中的代码非常相似。 据悉,黑客使用的是一个被称为“ Bankshot ”的修改版恶意软件,利用了最近 Adobe Flash 软件中发现的漏洞,攻击者尝试使用一个感染了病毒的 “ Agreement.docx ”微软Word 文件,然后包含在一封钓鱼电子邮件中引诱受害者。 Bankshot 恶意软件代码所来自的域名,和加密货币借贷平台 Falcon Coin 很相似,不过恶意网站域名 falcancoin.io 是在 2017 年 12 月 27 日窗帘的,因此从法律角度上,其实和原平台没有关联。 截至目前,本次攻击还没有被披露有任何资金损失。不过迈克菲安全威胁高级研究小组认为,这次黑客袭击的主要目的是为了远程访问政府控制的金融机构内部系统,但他们也没有对外披露哪些政府机构受到本次攻击的影响。 不仅如此,迈克菲安全威胁高级研究小组在恶意软件中还发现了两份用韩语编写的文件,虽然攻击的目标不一样,但或许能够从中看出是同一黑客所做。 回到 2017 年 12 月,美国政府在那时就已经针对 Bankshot 恶意软件发布了风险经过,而且指出该恶意软件和黑客组织 Hidden Cobra 有关。当时,美国政府表示该黑客组织是为朝鲜政府工作的。韩国曾多次指责朝鲜黑客攻击该国的加密货币交易所,目前针对朝鲜的国际制裁也已经超过了一年时间。 稿源:转载自 36Kr,原文翻译自 coindesk.com,译者:36cup。封面源自网络。

趋势科技报告:揭露 Lazarus APT 组织针对金融机构使用的恶意软件及工具

外媒 1 月 25 日消息,趋势科技的安全专家于近期发布了有关 Lazarus APT 组织在最近针对金融机构的攻击中使用的恶意软件和工具。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件都有关系。 在 2014 年和 2015 年,Lazarus 组织的活动激增,其成员主要使用定制化的恶意软件进行攻击,相关专家认为该组织的攻击方式非常复杂。 在上一次针对金融公司的活动中,网络间谍利用与 Lazarus 有关的 RATANKBA 木马变种,发起了“水坑攻击”。 据悉,被称为 RATANKBA 的恶意软件只是 Lazarus 军火库中的武器之一。这个恶意软件自 2016 年年底以来一直活跃 ,其最近一次使用是在针对金融机构攻击活动中。 在这些攻击活动中使用的变种(TROJ_RATANKBA.A)提供了多种有效载荷,其中包括针对银行系统的黑客攻击工具和软件。 另一个新的 RATANKBA 变体(BKDR_RATANKBA.ZAEL – A)于 2017 年 6 月发现,主要使用 PowerShell 脚本而不是更传统的 PE 可执行形式。 专家们注意到,RATANKBA 木马是通过武器化的 Office 文档(包含与加密货币和软件开发相关的主题)、CHM 文件和脚本下载程序交付的。攻击者并没有实施与恶意软件的实时通信,一旦目标机器沦陷,攻击者将使用远程控制器工具将作业发送到系统,然后由 RATANKBA 处理作业队列,检索收集的信息。 恶意软件 RATANKBA 感染流程 研究人员称 Lazarus APT 使用的控制器工具实现了一个图形化的 UI 界面,允许黑客将代码推送到服务器并从中下载受害者配置文件。 在这次金融攻击的活动中,研究人员识别和入侵了网络间谍用来暂时存储被盗数据的服务器,随后发现大约 55% 的受害用户位于印度和邻国,这些用户大多数都没有使用微软软件的企业版本。据悉,受害用户的 IP 地址不属于大型银行或金融机构,趋势科技认为可能是印度三家网络软件开发公司或者韩国某家公司的雇员。 根据 Lazarus APT 组织成员的个人资料显示,趋势科技猜测黑客可能会是韩国本地人。目前鉴于 Lazarus  在其运营中善于使用各种各样的工具和技术,因此该组织很可能继续更新优化恶意活动的攻击策略。 报告详细内容可查阅: <Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More> 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜 APT 组织 Lazarus 或利用安卓恶意软件针对韩国三星用户展开新一轮网络攻击

据外媒 11 月 22 日报道,网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示,该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前,该应用已被下载 1300 多次。McAfee 经分析表示,其恶意软件主要为可执行与可链接格式(ELF)文件提供一个后门,允许攻击者完全控制受害设备。另外,该后门程序所使用的命令与控制(C&C)服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出,此次活动似乎主要针对韩国三星用户展开攻击,并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系,例如:所使用的 Payload、恶意软件代码,以及托管的合法 APK 都极其相似等。随后,Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现,这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件,从而感染更多设备后允许攻击者展开大规模攻击活动。 目前,Palo Alto Networks 由证据表示,该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分,因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此,他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读: 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国国防承包商成为朝鲜 APT 组织 Lazarus 最新攻击目标

据外媒 8 月 14 日报道,网络安全公司 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 瞄准美国国防承包商展开新一轮网络钓鱼攻击活动。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 研究人员在分析恶意代码、诱导文件与基础设施后发现,APT 组织 Lazarus 利用内含恶意 Microsoft Office 文档的钓鱼邮件传播宏病毒。值得注意的是,该恶意邮件以美国国防承包商招聘雇员为主题诱导用户点击下载,文件内容伪装成合法公司网站上的工作职能与内部政策的英文描述。 Lazarus 在此次攻击活动中采用的黑客工具策略与以往相比大同小异,其中在 XOR 密钥中使用宏解码植入有效载荷以及在有效负载中将宏病毒输入磁盘的功能均具有重叠部分,这意味着该组织持续使用同一黑客工具展开攻击活动。此外,相关诱导文件、有效负载、命令与控制(C&C)服务器之间也存在许多联系。对此,研究人员推测 Lazarus 正忙于全球业务扩张。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

莫斯科威胁情报公司:黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据

外媒 31 日报道,莫斯科威胁情报公司 Group-IB 近期发表了一份报告,揭示黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 黑客组织 Lazarus 攻击活动于 2014 年至 2015 年激增,其组织成员多数采用自定义恶意软件展开网络攻击活动。Group-IB 安全专家表示,该组织针对全球银行 SWIFT 系统的攻击活动留下了众多线索。 研究人员目前已检测并彻底分析了 Lazarus 如何使用复杂僵尸网络基础设施访问目标银行系统的相关细节。此外,他们还发现该黑客组织通过 SSL 发送加密数据、利用合法 VPN 隐匿真实身份。研究人员表示,自 Operation Blockbuster 报道过一份关于 Lazarus 组织成员的大量信息后,该黑客组织当即改变了攻击战略。 Lazarus 长期使用的两个 C&C 服务器地址之一 —— 210.52.109.22 属中国网通 IP 段,但据调查显示 IP 210.52.109.0/24 范围早已被分配给了朝鲜。而另一 IP 地址 175.45.178.222 指向朝鲜互联网服务提供商,它被分配给了朝鲜 Potonggang 区域,“巧合”的是朝鲜最高军事机构也在这里。 此外多项证据也显示,黑客组织 Lazarus 正将其攻击活动伪装成俄罗斯黑客所为,即伪造恶意软件中的标志代码欺骗调查人员,以嫁祸俄罗斯黑客。 更多细节分析可阅读:Group-IB 报告《 Lazarus 的兴起 :构架、技术与归属》 原作者:Pierluigi Paganini,译者:青楚,译审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接