【安全资讯】Lazarus组织的NukeSped后门功能分析

引言

在2020年左右开始至今，确认了多起Lazarus攻击组织针对韩国公共机构和公司的攻击，其中包括公共机构和大学，以及一些物流、IT 和制造公司。这些攻击的共同点是使用了相同的后门恶意代码，并将该后门概括为NukeSped。研究人员分析了使用 NukeSped 的整个攻击流程，包括 NukeSped 的功能和分发方法，以及攻击者收到的命令或额外安装的恶意代码中的详细步骤。

简况

NukeSped 是 Lazarus 组织使用的具有代表性的后门恶意软件，其可以通过从 C&C 服务器接收攻击者的命令来执行各种恶意操作。基本上除了命令行命令外，还支持文件相关的操作，并且支持常见后门恶意软件提供的大部分功能，比如键盘记录、屏幕记录、将窃取的文件上传到C&C服务器等。

与过去攻击中识别的各种变体不同，此处识别的 NukeSped 可以通过二进制文件中包含的类名以及静态或功能内容识别为相同的恶意代码。可以通过这点推断出同一攻击者为了逃避检测而使用的自打包方法，或者在感染后额外安装了相同的恶意代码。

总结

名为 Lazarus 组织的攻击者一直在对一些韩国的公共机构和公司进行 APT 攻击。其常用的一种渗透方式是社会工程学攻击方式，即通过邮件附件投送恶意载荷，同时也使用了水坑攻击等各种类型的攻击方式。攻击者最终安装NukeSped 恶意软件后门，通过接收攻击者的命令执行各种恶意操作。因此，用户在收到可疑电子邮件时应避免执行附件。另外，需要将使用中的软件更新到最新版本，提前防止恶意代码感染。