他们在地下暗网中被称为“拉撒路集团”,但情报人士称他们是朝鲜的数字军队。 您可能在2014年臭名昭著的Sony Pictures黑客中听说过这个名字。
但是他们的最新操作有一个新的目标-加密货币,并被网络安全公司Secureworks发现。
攻击的重点是持有和管理加密货币的金融公司的高管,其工作方式是这样的-高管收到一封电子邮件,其中指出有机会晋升,并成为公司的首席财务官。
有一个Microsoft Word文件形式的附件。 打开后,他们收到一条通知“必须启用编辑才能查看该文档”,并且当用户单击“确定”时,它将启动执行2件事的嵌入式脚本。
首先,它创建然后打开无害文档-一种实际的工作描述,以使用户分心和不怀疑。
其次,秘密启动了木马病毒的注入。
 |
| 外观无害的工作描述文档(图片:Secureworks) |
尽管远程访问特洛伊木马并不是什么新鲜事物,甚至可以在地下暗网论坛上进行买卖,但是,与众不同的是,它似乎不是以前已知的特洛伊木马的变体-该木马似乎是从头开始进行全新编码的。
在评估代码时,Secureworks Counter Threat Unit从朝鲜以前的行动中发现了一些东西-它严重依赖C2协议,而Lazarus Group过去曾使用过CXNUMX协议来与其主要的命令和控制服务器进行通信。
这种新攻击的第一个发现始于XNUMX月,并且一直持续到今天。
建议那些认为可能成为此类攻击目标的人确保在Microsoft Word中禁用宏,并要求对具有敏感数据的系统进行两因素身份验证。
-------
作者: 罗斯·戴维斯
旧金山新闻台
没有评论
发表评论