标签: Lazarus

卡巴斯基报告:Lazarus APT 组织的大型狩猎游戏

毫无疑问,2020 年将成为历史上令人不愉快的一年。在网络安全领域,针对目标的勒索软件攻击日益增加,集体的伤害就更加明显。通过调查许多此类事件,并通过与一些值得信赖的行业合作伙伴讨论,我们认为我们现在对勒索软件生态系统的结构有了很好的了解。 勒索软件生态系统的结构犯罪分子利用广泛传播的僵尸网络感染(例如,臭名昭著的 Emotet 和 Trickbot 恶意软件家族)传播到受害者和第三方开发者的勒索软件“产品”的网络中。当攻击者对目标的财务状况和IT流程有充分了解后,他们就会在公司的所有资产上部署勒索软件,并进入谈判阶段。 这个生态系统在独立、高度专业化的集群中运行,在大多数情况下,除了业务联系之外,这些集群彼此之间没有联系。这就是威胁行为者的概念变得模糊的原因:负责最初破坏的组织不太可能是破坏受害者的 Active Directory 服务器的一方,而该服务器又不是事件中实际使用的勒索软件代码的一方。更重要的是,在两起事件中,同一罪犯可能会交换业务伙伴,并且可能利用不同的僵尸网络或勒索软件家族。 当然,没有一个复杂的生态系统可以用一套单一的、严格的规则来描述。在本文中,我们描述了2020年3月至2020年5月之间进行的两次调查中出现的异常之处。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1279/     消息来源:kaspersky,译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

朝鲜黑客正在从网上购物者那里掠夺信用卡细节

与臭名昭著的朝鲜Lazarus集团有关的黑客正在闯入在线商店,并在客户访问结账页面时窃取客户信用卡细节。这些被称为 “网页掠夺 “或 “Magecart攻击”的攻击自2019年5月以来一直在进行,并袭击了国际时尚连锁店Claire’s等大型零售商。 荷兰网络安全公司SanSec报告了这些攻击。它写道,自2015年以来,数字掠夺技术一直在增长,虽然传统上是由俄罗斯和印度尼西亚语的黑客组织使用,但政府支持的朝鲜犯罪分子现在正在拦截在线商店的信用卡细节。 攻击涉及获取网店后端服务器的访问权限,通常是通过向员工发送诱杀邮件来获取他们的密码来实现。黑客在4月和6月潜入了饰品店Claire’s的网站。一旦网站被入侵,恶意脚本就会在结账页面上加载,在信用卡细节被输入表格时窃取。一旦交易完成,被截获的数据就会被发送到黑客组织控制的收集服务器,并在暗网上出售。 该集团建立了一个全球渗透网络,以使掠夺行动获利。这包括劫持和重新利用合法网站,作为犯罪活动的伪装,并输送被盗资产。米兰的一家模特经纪公司、德黑兰的一家古董音乐商店和新泽西的一家家庭经营的书店都是该网络的一部分。 Sansec的研究人员发现,活动与之前的朝鲜黑客行动之间存在联系。证据指向Hidden Cobra,又名Lazarus集团,该集团是2014年索尼影业黑客攻击、2016年孟加拉国银行抢劫案的幕后黑手,并被广泛认为是WannaCry恶意软件的始作俑者。     (稿源:cnBeta,封面源自网络。)  

疑似与朝鲜相关的的黑客盗取了17个国家的数据

与朝鲜有关的黑客组织与 17 个国家的一系列网络攻击有关,远远超出了最初的想象。McAfee Advanced Threat Research 发布的一份新报告发现,一项名为 Operation GhostSecret 的重大黑客活动旨在窃取包括关键基础设施,娱乐,金融,医疗保健和电信等广泛行业的敏感数据。 攻击者使用与朝鲜赞助的网络部队 Hidden Cobra(也称为 Lazarus)相关的工具和恶意软件程序来执行高度复杂的操作。GhostSecret 的行动被认为是在 3 月初发生在几个土耳其金融机构和政府组织的大规模网络攻击。据 McAfee 介绍,网络攻击随后开始针对17个国家的行业,并且仍然活跃。 稿源:freebuf,封面源自网络;

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜兴趣浓厚?Lazarus APT 钓鱼活动瞄准伦敦加密货币公司

据外媒 12 月 15 日报道,美国网络安全公司 Secureworks 周五表示,朝鲜 Lazarus APT 集团正对伦敦一家加密货币公司展开钓鱼式攻击行动,其目的在于窃取比特币行业内部人士的在线证书。Secureworks 公司警告钓鱼活动可能带来严重后果。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) 以招聘为饵散播钓鱼邮件 据 Secureworks 的专家介绍, Lazarus APT 以伦敦一家加密货币公司担任首席财务官职位为饵制作了针对性的钓鱼邮件,一步步引诱受害者点击邮件中附带的恶意链接。点击链接后的用户系统将会感染恶意代码、安装远控软件并进一步下载其他恶意软件或被窃取数据。 Secureworks 公司表示,这个恶意软件与 Lazarus APT 集团之前的一个叫做 “ Nickel Academy ” 的行动共享技术链接。在这次攻击中观察到的 TTPs(techniques, tactics, and procedures)与此前属于 Lazarus APT 的网络攻击战术有许多相似之处。不过目前为止 Secureworks 并没有透露是否有用户点击了钓鱼链接的任何消息 。 钓鱼活动仍在继续进行 据路透社报道,这次发现的鱼叉式网络钓鱼 (Spear phishing) 攻击似乎开始于今年 10 月 25 日,但据研究人员观察,最初的钓鱼活动应该可以追溯到 2016 年。研究人员认为直至目前 Lazarus APT 窃取证书的钓鱼活动仍在进行中。 最近侵入韩国几家比特币交易所的行为被暂时归咎于朝鲜 ,因为通过 Secureworks 搜集的证据显示,朝鲜于 2013 年就显露出对比特币的强烈兴趣。当时,有国家资助背景的黑客使用了一组来自使用朝鲜互联网地址的计算机用户名,这些用户名就是被用来研究比特币的。因此研究人员猜测,这次侵入韩国比特币交易所使用的同一个互联网地址与之前的朝鲜行动有关。 “鉴于目前比特币价格的暴涨,美国反恐局( CTU )怀疑朝鲜对加密货币的兴趣仍然很高,并且可能继续围绕加密货币开展攻击行动”, Secureworks 公司在给路透社的一份声明中表示 Lazarus APT 的钓鱼活动仍在进行中,并警告可能造成严重后果。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜黑客组织 Lazarus 或与远东国际商业银行盗窃案有关

据外媒报道,全球知名军品公司 BAE Systems Plc 表示,与朝鲜有关联的黑客组织 Lazarus 可能需要为台湾远东国际商业银行 6000 万美元的失窃案负责。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件、 2016 年孟加拉国银行数据泄露事件及 WannaCry 勒索病毒攻击事件有关。 安全研究人员表示,他们在调查攻击远东国际商业银行的恶意工具包时,发现黑客组织在此次活动中使用了多款恶意软件,且与 Lazarus 之前使用的武器库相关。据悉,黑客组织在目标银行网络上利用勒索软件 Hermes 侵入设备后加密系统文件、干预检测并擦除证据。此外,研究人员在检测银行系统时,还发现另一款恶意软件 Bitsran,可用于目标系统运行与传播有效负载的加载程序。 目前,斯里兰卡警方已经逮捕了与这起失窃案相关的两名网络犯罪分子,且追回 5990 万美元。研究人员表示,除了孟加拉国央行的失窃案,该团伙还一直瞄准比特币,同时他们还是墨西哥和波兰银行网络攻击的幕后力量。 稿源:本文结合 securityaffairs.co 与 solidot奇客 内容编译整理 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基 2017 年 Q1 APT 趋势报告出炉 Lazarus 与 StoneDrill 等百余黑客组织上榜

据外媒本月 2 日报道,卡巴斯基目前正监控百余个黑客组织的活动,范围波及 80 多个国家的各行各业,其中不乏黑客组织 Lazarus APT 与 StoneDrill 等。 Lazarus(音译 “ 拉撒路 ”,又名 BlueNoroff )堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年即已涉足摧毁数据与破坏系统的网络间谍活动。Lazarus 还曾瞄准孟加拉国纽约联储与波兰银行展开攻击。 据卡巴斯基实验室报道,针对全球银行机构的黑客活动仍在持续。专家近期再度发现与 Lazarus APT 组织活动有关的新型恶意软件样本。以下是卡巴斯基实验室近期公布的 ATP 趋势报告最新发现: BlueNoroff 是最为活跃的黑客组织之一,主要攻击金融机构并试图感染若干地区不同受害者设备。 BlueNoroff 组织活动仍在持续。事实上,该组织最新恶意软件样本发现于 2017 年 3 月。 BlueNoroff 或为银行机构视面临的首要威胁。 此外,卡巴斯基 2017 年第一季度跟踪的其他活跃 APT 组织还包括 Shamoon 与 StoneDrill 。虽然这些组织风格迥异,但他们通力合作,使用高精度恶意软件 wiper 攻击沙特阿拉伯目标。据悉,专家将恶意软件 StoneDrill 与 Shamoon 2 及 Charming Kitten(又名 Newscaster 与 NewsBeef )两起攻击活动相关联,发现该恶意软件被攻击者传播至沙特阿拉伯与至少一个欧洲组织。 专家们还发现 APT 组织 Shamoon、StoneDrill 与 NewsBeef 的恶意软件样式与组件存在大量相似之处。研究人员强调,APT 组织不屑创建新黑客工具,而是利用通用工具完成一系列操作。 目前,大量各式框架为网络间谍组织提供了多种选择,特别是横向活动,包括 Nishang、Empire、Powercat、Meterpreter 等。有趣的是,多数框架基于 Powershell 并允许使用无文件后门。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜黑客肆虐全球:从赌场到银行无一幸免

2016 年 2 月,孟加拉国央行陷入一片混乱,计算机系统惨遭黑客入侵、千万美元不翼而飞。时隔一年有余,证明朝鲜与该事件联系紧密的相关证据数量仍不断攀升。这起黑客事件曾被认为是全球范围内已知的最大规模金融网络犯罪。直至目前, 犯罪人员身份仍为不解之谜。 配图源自网络 自去年以来,关于此案的松散追踪就从未停止,调查结果显示,一个与朝鲜方面存在关联、代号为“拉撒路”(Lazarus)的黑客组织难逃干系,但据本月 3 日最新证据显示该组织开展的活动范围远超过之前预期。 卡巴斯基安全实验室认为,Lazarus 旗下代号为 Bluenoroff 的黑客组织专门从事金融犯罪,攻击目标遍及全球十余个国家的银行、赌场、加密货币公司。卡巴斯基实验室全球研究与分析团队在一篇博文中阐述:“Lazarus 的影响远非一般 APT(高级持续性威胁,用于描述掌握广泛资源的黑客组织、通常与政府或情报机构相关联)组织所能及”。 根据卡巴斯基调查报告内容,此黑客组织采用“水坑攻击”技术(通过恶意软件感染目标访问网站)向俄罗斯、挪威、墨西哥、乌拉圭、澳大利亚、印度、波兰、秘鲁、尼日利亚等国发起攻击。 问题焦点 卡巴斯基表示,迄今已在 18 个国家发现该组织的行踪,其中包括今年发生在欧洲与东南亚国家的一些尚未报道的黑客行为,并发布了一份根据一台命令与控制(C&C)服务器进行的分析报告。据称,这台 C&C 服务器透露了一个源自朝鲜的特殊 IP 地址。 图2. 被 Lazarus 设定为攻击目标的已知金融机构地理分布 研究结果表明,未能对无响应、被冻结的现成加密货币挖掘软件进行适当清理导致了服务器更易遭到黑客入侵。但无论如何,该 IP 地址的存在都使朝鲜成为问题的焦点。平壤方面是否与这一系列网络攻击行动有直接关系仍有待探索。通常,此类攻击都被认为源自中国。尽管如此,发生在 2014 年的索尼影业遭到大规模攻击事件已暗示了 Lazarus 以及朝鲜独裁政权具有此方面嫌疑。 网络破坏与硬盘擦除作为索尼被黑事件的两大特点与近期发生的金融犯罪不谋而合。多家网络安全公司均表示该组织已活跃多年(大概可追溯至 2009 年),但卡巴斯基认为将目标设定为银行的做法此前较少出现。一种假设是该黑客组织被迫转向此类型攻击是为了获得经济上的资助。该项计划的真实范围仍不清楚,但造成的影响显而易见。相关样本表明其拥有一个“恶意软件工厂”,提供从多种来源获取的黑客工具。 研究人员表示,“ Lazarus 攻击并非地方性问题,显然该组织的作战范围已遍及全球各地,疑似不同成员在网络窃取钱财或获得非法利润问题上具有不同分工。” “我们认为该组织的最初行动始于 2016 年底,继东南亚地区开展的其他行动中断后进行重新分组并转战至新的国家,选取目标主要为贫穷、较不发达地区,因为这些目标显然更容易得手。 “难以察觉的偷窃行为” 据报道,为了寻找偷窃巨款的途径,Lazarus/Bluenoroff 在“分解”合法软件与补丁方面花费了大量时间。尽管如此,所采用恶意软件的设计初衷并非遵循“打了就跑”模式。“他们的解决方案旨在实现不留痕迹的偷窃”,研究人员表示。 “当然,想把上千万美元巨款挪走又不被发几乎不大可能,但我们认为他们可能正在许多不同地点对恶意软件进行秘密开发,由于行动隐蔽,尚未触发其他任何严重的警报。 “Bluenoroff堪称迄今面向金融产业成功发动大规模攻击的黑客组织之一。我们认为在未来的几年内,他们仍将是银行部门、金融与贸易公司以及赌场面临的巨大威胁。” 证据数量不断攀升 然而,关于此类事件的最新消息并非源自 Lazarus。事实上,赛门铁克曾于今年 2 月在一些黑客与某波兰金融机构之间存在可疑的关联。据称,位于 31 个不同国家的 100 多个组织机构被设定为攻击目标。分析报告透露这款此前未发现的恶意软件名为 Ratankba,疑似与该朝鲜黑客组织之间存在“共性”。除了惊人相似的硬盘擦除能力外还同样采用“进攻+破坏”策略。 此外,BAE Systems Intelleigence & Security 称英国至少 7 家银行曾遭受Lazarus 恶意软件攻击。美国新增 15 起被袭击事件、波兰新增 19 起、墨西哥新增 9 起。该公司强调在卡巴斯基开展此类研究前这些事件之间存在的真实关联始终模糊难辨。 早在 2016 年 2 月,全球执法与安全巨头合作伙伴关系揭露了“重磅炸弹行动”(Operation Blockbuster),介绍了名为 Destover 的 Lazarus 相关恶意软件如何在引导FBI得出朝鲜与该行动联系密切这一结论的过程中发挥作用。 报告称,Lazarus 组织开发了广泛而多样化的工具集,可以有效结合多种方法提供其他恶意软件工具、渗出数据、发动破坏性攻击。 原作者:Jason Murdock, 译者:游弋,审核校对:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

赛门铁克曝朝鲜黑客组织网络攻击全球 31 家银行

据赛门铁克研究人员称,朝鲜 APT 组织“Lazarus”曾对全球 31 家银行进行了一系列网络攻击。其中,孟加拉国央行、韩国索尼损失最为严重。 专家表明, 2014 – 2015 年 Lazarus APT 组织的攻击活动频繁增加,其成员主要使用专门定制的恶意软件对各组织进行攻击。Lazarus 自 2009 年以来一直活跃在朝鲜领域,或许早在 2007 年,该组织就已经参与了网络间谍活动。 赛门铁克专家表示,Lazarus 在使用“ loader ”进行攻击的同时,还会安装其他恶意程序。美国和韩国政府指责过来自朝鲜的攻击,但朝鲜政府并没有出面做出解释,目前暂时赛门铁克也无法提供 Lazarus 窃取受害人钱财方面的证据。 据赛门铁克的专家调查显示:Lazarus 上月发起的网络攻击曾导致了整个波兰银行系统感染恶意软件。波兰银行也证实,他们的工作人员在访问波兰金融监管局(KNF)的网站后系统受到感染。据赛门铁克专家表明,这一攻击事件背后实施者与 2016 年 10 月攻击全球 31 家银行的黑客来自同一组织。 在本次事件中,攻击者 IP 地址显示他们来自 31 个国家的 104 个特定组织。其中,受害者人数最多的是波兰,其次是美国和墨西哥。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接