朝鲜黑客以GDPR引诱加密货币系统管理员
文章来源:安全圈
Infosec biz F-Secure发现了一项朝鲜网络钓鱼活动,该活动以通用数据保护条例(GDPR)为主题的诱饵,针对具有伪造的Linkedin招聘广告的系统管理员。
这位威胁情报公司表示,这名系统管理员曾为一家加密货币公司工作。这使他成为了一个渴望资金的州立黑客Lazarus Group(又名APT38)的成熟目标,据称这是由朝鲜支持的。
“我们的研究包括对我们的事件响应,有控制的侦察和响应以及战术防御单位的见解,发现这次攻击与已知的拉撒路集团活动有许多相似之处,因此我们有信心他们是事件的幕后黑手。” F-Secure的检测和响应总监Matt Lawrence。
F-Secure表示,北朝鲜的攻击者针对英国,美国,荷兰,德国,新加坡,日本和至少八个其他国家的“加密货币垂直组织”。
最初的诱饵是作为LinkedIn消息的附件发送的感染了恶意软件的文件,敦促sysadmin收件人打开该文件以获取令人兴奋的新工作的详细信息。打开后,文件显示如下:
朝鲜拉撒路集团以GDPR为主题的诱惑
“如上图所示,该文档的恶意版本声称已受到通用数据保护条例(GDPR)的保护,并且需要在Word中启用内容才能访问该文档。然后,将启用内容导致恶意的嵌入式宏代码得以执行。” F-Secure说。
运行宏后下载的恶意文件与俄罗斯卡巴斯基实验室于2016年发现的以前的APT38工具具有相似之处。
“ Lazarus Group投入了巨大的努力来逃避目标组织在攻击过程中的防御,例如在受感染主机上禁用防病毒软件,并删除其恶意植入的证据。尽管该报告将攻击描述为复杂事件,但指出拉撒路集团隐藏他们的存在的努力还不足以阻止F-Secure的调查恢复其活动的证据。” F-Secure在罐头声明中说。
拉扎鲁斯集团以瞄准金融机构为目的,将资金吸回朝鲜,这是众所周知的。在西方领导的制裁下,朝鲜的经济停滞了数十年,旨在说服共产党专政不发展核武器。
2014年,由国家支持的黑客针对Sony Pictures,窃取了敏感的内部文件;2016年,他们从一家孟加拉银行偷走了8100万美元;一年后,据透露他们的目标是从赌场到从事金融软件工作的软件开发人员 ; 去年,他们通过为macOS部署内存内恶意软件,彻底超越了面目。该组织还被认为是Wannacry恶意软件的幕后黑手,该恶意软件暂时削弱了英国国家卫生服务系统。
机组人员以使用社会工程学诱饵来部署其恶意软件以及为身份留下如此明显的线索而闻名,Infosec研究人员通常会怀疑他们是否正在看到虚假的标志攻击。
推荐阅读
*警惕!2020年多名公务员因微信办公违规被处理,案例鲜活,教训惨痛
*Google Maps屏蔽中国SIM卡 自此不再支持国内用户使用