近期在一起对于韩实体线的鱼叉式网络钓鱼主题活动中发觉,与中国朝鲜相关的APT机构Lazarus将恶意代码掩藏在了.BMP图像文档中以躲避检验。
掩藏在.BMP图像种的恶意代码可以在受害人的系統上组装一个远程连接木马病毒(RAT),使攻击者可以盗取比较敏感信息内容。
来源于Malwarebytes的分析工作员表明,本次网络钓鱼主题活动是由派发含有故意文档的电子邮箱逐渐的,而且科学研究工作人员于4月13日发觉了该文件。
本次钓鱼邮件所建立的哄骗文档宣称是韩某一地区的产品博览会的参加申请表格,并显示客户在第一次开启时启用宏。
该宏最先启用MsgBoxOKCancel函数公式,向客户弹出来一个信息框,宣称是微软公司Office的旧版。在后台管理,该宏启用一个缩小为zlib文件的可实行HTA文档,该文件被包括在一个总体的PNG位图文件中。
该宏还根据启用WIA_ConvertImage函数将PNG格式的图象转变为BMP格式。权威专家强调,将PNG文件格式变换为BMP文档格式会全自动缓解压力从PNG置入到BMP的故意zlib目标,由于BMP文档格式是未缩小的位图文件格式。运用这一方法,攻击者可以防止检验到图象内的置入目标。
以后客户会开启感柒链的进攻编码,最后推广一个名叫 "AppStore.exe "的可执行程序。
随后,该有效载荷再次获取额外在自个的身上的数据加密的第二阶段有效载荷,在运作时开展编解码和破译,然后与虚拟服务器创建通讯,接受附加的指令,并将那些指令的結果传到网络服务器。
本次主题活动与以往的Lazarus行为有很多共同之处,例如第二阶段的有效载荷应用了与Lazarus有关的BISTROMATH RAT所采用的相近的自定加密技术。
Lazarus APT机构环境
Lazarus APT机构最少从2009年就逐渐活跃性,一般觉得该机构与中国朝鲜相关。其拒绝服务攻击主要是运用恶意程序。
该机构参加了诸多互联网情报活动和破坏活动,有着雄厚的“成绩”。一般觉得该机构与规模性的WannaCry勒索病毒进攻相关,除此之外,2016年的很多SWIFT进攻和索尼影业遭到的黑客入侵也被指出与该机构有一定的联络。
依据诺顿杀毒软件2020年公布的汇报,近些年,该机构不断对于数字货币交易中心来演化其TTP。