高級(jí)威脅組織Lazarus以Threat Needle惡意軟件攻擊國防公司
2021年03月04日
3月4日訊卡巴斯基的研究人員表示,由朝鮮支持的高級(jí)持久威脅組織Lazarus一直在利用一種名為“威脅針”的后門��,對(duì)十幾個(gè)國家的國防工業(yè)目標(biāo)進(jìn)行打擊�����。這種后門可以在網(wǎng)絡(luò)中橫向移動(dòng),消除網(wǎng)絡(luò)細(xì)分�。
研究人員指出,這項(xiàng)始于2020年的網(wǎng)絡(luò)攻擊行動(dòng)正在進(jìn)行中�����,它使用了一種多步驟方法�����,以魚叉式網(wǎng)絡(luò)釣魚攻擊開始���,最終導(dǎo)致Lazarus完全控制了受害者的設(shè)備��。
卡巴斯基高級(jí)威脅研究人員表示:“我們觀察到他們?nèi)绾瓮ㄟ^訪問內(nèi)部路由器并將其配置為代理服務(wù)器來克服網(wǎng)絡(luò)分割�����,允許他們將竊取的數(shù)據(jù)從內(nèi)部網(wǎng)竊取到他們的遠(yuǎn)程服務(wù)器��?��!?/span>
據(jù)悉,這并非Lazarus首次使用“威脅針”后門���,“威脅針”后門也被稱為APT38和隱藏的眼鏡蛇���。研究人員指出���,從2018年2月開始,朝鮮黑客集團(tuán)開始利用它來對(duì)抗香港的一家加密貨幣交易所和一家未具名的手機(jī)游戲開發(fā)商����。
早前,三名與Lazarus有關(guān)的朝鮮人被美國司法部起訴����,指控稱,他們試圖從世界各地的銀行和其他組織竊取或勒索13億美元的加密貨幣和現(xiàn)金����。目前尚不清楚這三人是否參與了卡巴斯基的攻擊。
根據(jù)報(bào)告���,一旦下載并運(yùn)行�,該惡意軟件即可操縱文件和目錄����,進(jìn)行系統(tǒng)配置文件,控制后門進(jìn)程��,強(qiáng)制設(shè)備進(jìn)入睡眠或休眠模式����,更新后門配置并執(zhí)行接收到的命令。
卡巴斯基的研究人員指出����,對(duì)國防承包商和其他經(jīng)營工業(yè)工廠的潛在目標(biāo)來說,最危險(xiǎn)的方面是Lazarus克服網(wǎng)絡(luò)分割防御和橫向移動(dòng)到與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)的能力�����。
卡巴斯基對(duì)一個(gè)受害者進(jìn)行了分析�,該受害者將其網(wǎng)絡(luò)分成了兩個(gè)部分,一個(gè)是企業(yè)網(wǎng)絡(luò)��,另一個(gè)是承載敏感數(shù)據(jù)的受限制網(wǎng)絡(luò)���,但不能直接上網(wǎng)����?���?ò退够J(rèn)為�����,它已經(jīng)建立了網(wǎng)絡(luò)����,因此在兩個(gè)網(wǎng)段之間無法共享數(shù)據(jù)��。
公司部門的IT管理員可以連接到禁區(qū)進(jìn)行維護(hù)�,攻擊者在惡意軟件徹底感染了包括IT部門的計(jì)算機(jī)在內(nèi)的公司網(wǎng)絡(luò)后,發(fā)現(xiàn)了此漏洞���。
研究人員說:“攻擊者掃描路由器的端口并檢測到Webmin界面��。接下來��,攻擊者使用特權(quán)根帳戶登錄到Web界面����?�!边@有效地將公司的服務(wù)器變成了代理��,從而使惡意軟件可以下載到網(wǎng)絡(luò)的分段部分并刪除數(shù)據(jù)����。
據(jù)悉,網(wǎng)絡(luò)釣魚電子郵件本身是基本的���,其中包含惡意的Microsoft Word文檔或指向惡意遠(yuǎn)程服務(wù)器的鏈接����。這些攻擊中的社會(huì)工程學(xué)使用目標(biāo)感興趣的主題���。此外�,報(bào)告指出����,攻擊者會(huì)將內(nèi)容偽裝成來自受攻擊的組織。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
