微软:Lazarus 组织正在利用开源软件
编译:代码卫士
Lazarus 组织利用开源软件部署 BLINDINGCAN(即ZetaNile)后门,它们包括 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording软件安装工具等。PuTTY和KiTTY SSH客户端还被用于在虚假的工作技能评估中在目标设备中安装后门。
从2022年4月末至9月中旬,这些木马化软件被用于社工攻击中,而这些攻击主要集中于在英国、印度和美国从事IT和媒体工作的工程师和技术支持专业人员。
攻击者制造“虚假材料,假冒为在技术、国防和媒体娱乐公司工作的招聘人员,目标是将目标从LinkedIn转移到加密通讯应用WhatsApp,传播恶意软件。目标会收到匹配其职业或背景的联系信息并被鼓励应聘其中一家合法公司的开放职位。”
Lazarus 黑客组织诱骗目标下载被武器化的软件,在系统上部署恶意软件,利用后门进行横向移动和网络发现活动,最终目标是窃取敏感信息。
Mandiant 公司发布报告,称该组织的最新活动似乎是朝鲜网络间谍活动“梦想工作行动”的继续,后者始于2020年6月,通过虚假的工作邀约诱骗来自注明国防和航空企业的人员作为目标。该组织发动 “Blockbuster行动”入侵 Sony Films 公司、黑入全球多个银行并在2017年协调发动全球WannaCry 勒索攻击活动之后臭名昭著。近期,Lazarus 组织使用详细的虚假“安全研究员”社交人设,通过社工攻击安全研究员。
同时,该黑客组织利用ThreatNeedle 后门发动大规模网络间谍活动,攻击位于十几个国家的国防行业。2019年9月,美国政府制裁三个受朝鲜支持的黑客组织(Lazarus、Bluenoroff和Andariel),如今悬赏最高500万美元索取朝鲜黑客的网络活动信息。
朝鲜国家黑客组织Lazarus 被指攻击IT供应链
韩国遭 Lazarus Group 供应链攻击
朝鲜 Lazarus 黑客被指利用多平台恶意软件框架发动攻击
https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-are-weaponizing-open-source-software/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。