【安全资讯】Lazarus集团针对加密货币和金融行业的攻击活动升级

概要：

近期，臭名昭著的APT-C-26（Lazarus）集团再次活跃，针对金融机构和加密货币交易所展开新一轮攻击。该集团利用流行的IPMsg安装程序，转变为一种传播后门和窃取敏感信息的工具，显示出其在网络攻击中的高超技巧。

主要内容：

Lazarus集团的攻击始于一个被武器化的IPMsg安装程序。执行后，该安装程序会部署两个组件：一个合法的IPMsg安装程序（版本5.6.18.0），以保持可信度，以及一个恶意的DLL文件，启动多阶段攻击，最终与指挥控制（C2）服务器通信。这一策略体现了Lazarus在社会工程学方面的专业能力，成功诱使用户执行恶意程序。

恶意DLL文件经过多个解密和执行阶段，最终形成一个后门，使攻击者能够下载进一步的有效载荷并窃取数据。Lazarus使用了先进的规避技术，以避免被检测到。这些DLL文件包含堆栈检查，确保它们无法在沙箱环境中独立运行。此外，该集团还使用看似合法的域名，如 cryptocopedia[.]com，来托管其C2基础设施。

所有涉及的可执行文件，包括初始安装程序，都设计得看起来合法，从而增加了可信度，帮助其绕过传统安全措施。360威胁情报中心指出，此次活动的战术、技术和程序（TTPs）与Lazarus以往的操作高度一致，结合地缘政治目标模式，强烈暗示该北韩关联的威胁集团的参与。随着Lazarus不断演变其战术，组织必须保持警惕，强化安全措施和主动威胁情报的重要性不容忽视。