【安全资讯】疑似Lazarus组织针对韩国企业的攻击活动分析

研究人员捕获到了大量针对韩国企业的鱼叉式网络钓鱼攻击样本。其通过带漏洞的文档或chm文件进行感染，并区分当前操作系统位数，执行对应系统位数的宏代码，以达到最佳的攻击效果。活动中的初始感染文档均使用CVE-2017-0199远程执行代码漏洞下载后续执行；后续攻击利用本地RPC接口的UAC Bypass技术进行权限提升； 后续载荷加壳干扰分析，并使用简单手段来检测是否在沙箱中。研究人员认为本次攻击疑似出自APT组织Lazarus之手。