【安全资讯】Lazarus组织近期针对区块链金融、能源行业的攻击活动分析

匿名用户 2021-09-08 07:35:56 1336人浏览

引言

近日,Lazarus APT组织针对区块链与石油天然气等行业发起了鱼叉式网络攻击活动,活动中使用了zip打包Lnk后缀文件或和诱饵文件。Lazarus APT组织是疑似具有东北亚背景的APT团伙,该组织攻击活动最早可追溯到2007年,其早期主要针对韩国、美国等政府机构,以窃取敏感情报为目的。自2014年后,该组织开始针对全球金融机构 、虚拟货币交易所等为目标,进行以敛财为目的的攻击活动。

 

简况

最新的LNK样本文件名为JP Morgan Chase Job Opportunities.pdf.lnk ,意为摩根大通的工作机会。J.P. 摩根大通,总部位于美国纽约市,商业银行部旗下分行5100家,业务涉及投资银行、金融交易处理、投资管理、商业金融服务、私人银行服务等。释放的诱饵如下:

根据解析Lnk文件结果可知,该Lnk文件使用cmd.exe运行mshta.exe,使用了EDGE浏览起的图标作为伪装。请求的网址数据是一段Jscript代码。Jscript代码为了方便查看和分析进行了一定的去混淆处理。接着会打开base64解码后的谷歌云盘中的诱饵文件,并通过wmi接口遍历当前系统进程,检查杀毒软件。解码一长串base64后,写入到%Temp%\\reqveh.js,并在后续中启动并传入参数www.googlesheetpage.org/ 与 1或者2。将写好参数的LNK文件复制移动到开机启动文件夹。通过参数生成uid后请求url,并执行接收到的数据。5秒请求一次。

 

研究人员对此次攻击活动的手法、恶意代码等方面关联分析发现:此次攻击活动与Lazarus组织样本存在高度相似性。该样本与此前的Lazarus组织使用的Jscript代码MD5:9d555c1093ff84ac3d442b1a0617f7ef存在一致性。

总结

Lazarus 团伙是一个长期活跃的APT组织,武器库十分强大,拥有对多平台进行攻击的能力,近年来,该团伙多次被安全厂商披露,但从未停止进攻的脚本,反而越发活跃,攻击目标也越发广泛。同时,该团伙也多次针对国内进行攻击活动,企业用户在日常的工作中,切勿随意打开来历不明的邮件附件。

失陷指标(IOC)27
APT Lazarus 钓鱼攻击 金融 能源
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。