新闻快讯
< >

社工精准攻击!朝鲜Lazarus剑指美国防承包商

E安全8月16日讯 Palo Alto Networks发布分析报告指出,朝鲜Lazarus APT(美国政府称之为Hidden Cobra)组织最近对美国国防承包商实施攻击。

1.jpg

Lazarus组织2014年至2015年最为活跃,其成员大多数使用定制恶意软件。专家认为,该组织极其复杂。

Lazarus组织至少自2009年开始(可能最早始于2007年)一度活跃,参与网络间谍活动和破坏活动,旨在破坏数据和系统。安全研究人员发现,朝鲜Lazarus 组织与孟加拉国中央银行曾遭的网络攻击等近期的一系列银行失窃案有关。

安全专家表示,Lazarus组织还针对全球其它目标实施大规模网络间谍活动,包括“特洛伊行动”(Troy Operation)、“黑暗首尔行动”(DarkSeoul Operation)以及索尼影业被黑事件。其在最近一起攻击活动中使用包含恶意Office文档的鱼叉式网络钓鱼电子邮件。这些文档使用的语言为英文,其中被嵌入恶意宏传送恶意软件。

1502811531718044854.jpg

点击图片查看大图

Lazarus组织最近似乎还攻击了美国国防承包商。PaloAlto networks发布的分析显示,研究人员发现针对美国国防承包商遭遇新攻击。对恶意代码、文件和基础设施进行分析后,研究人员发现这起攻击活动是Lazarus组织所为,这一次其或与实施Blockbuster行动(Operation Blockbuster)的黑客组织联手发起攻击。

加入社会工程学的精准攻击活动

Lazarus组织使用诱饵文档描述美国国防承包商的职位空缺,并且这些职位描述在合法公司网站可查阅。在这起活动中,Lazarus组织使用的宏与先前其它网络间谍攻击存在许多相似之处。

专家发现,诱饵文档、Payload和命令与控制服务器(C&C Server)存在许多联系。攻击者在这起活动中使用的武器化Office文档与Lazarus组织在先前(年初)攻击活动中使用的恶意宏相同。只是这一次Lazarus组织将目标转向英语母语国家。而诱饵文件的主题目前包含美国国防承包商的工作职业描述和内部政策。

3.jpg

专家强调,与先前实施的网络间谍活动相比,该组织使用的工具和战术只发生了细微变化,类似攻击活动可能还将继续爆发。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。