高級(jí)威脅組織Lazarus以Threat Needle惡意軟件攻擊國(guó)防公司
2021年03月04日
3月4日訊卡巴斯基的研究人員表示��,由朝鮮支持的高級(jí)持久威脅組織Lazarus一直在利用一種名為“威脅針”的后門(mén)��,對(duì)十幾個(gè)國(guó)家的國(guó)防工業(yè)目標(biāo)進(jìn)行打擊����。這種后門(mén)可以在網(wǎng)絡(luò)中橫向移動(dòng)����,消除網(wǎng)絡(luò)細(xì)分�����。
研究人員指出�����,這項(xiàng)始于2020年的網(wǎng)絡(luò)攻擊行動(dòng)正在進(jìn)行中����,它使用了一種多步驟方法,以魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊開(kāi)始��,最終導(dǎo)致Lazarus完全控制了受害者的設(shè)備�。
卡巴斯基高級(jí)威脅研究人員表示:“我們觀察到他們?nèi)绾瓮ㄟ^(guò)訪問(wèn)內(nèi)部路由器并將其配置為代理服務(wù)器來(lái)克服網(wǎng)絡(luò)分割,允許他們將竊取的數(shù)據(jù)從內(nèi)部網(wǎng)竊取到他們的遠(yuǎn)程服務(wù)器����。”
據(jù)悉��,這并非Lazarus首次使用“威脅針”后門(mén),“威脅針”后門(mén)也被稱(chēng)為APT38和隱藏的眼鏡蛇����。研究人員指出,從2018年2月開(kāi)始�����,朝鮮黑客集團(tuán)開(kāi)始利用它來(lái)對(duì)抗香港的一家加密貨幣交易所和一家未具名的手機(jī)游戲開(kāi)發(fā)商�����。
早前�,三名與Lazarus有關(guān)的朝鮮人被美國(guó)司法部起訴��,指控稱(chēng)�,他們?cè)噲D從世界各地的銀行和其他組織竊取或勒索13億美元的加密貨幣和現(xiàn)金。目前尚不清楚這三人是否參與了卡巴斯基的攻擊����。
根據(jù)報(bào)告,一旦下載并運(yùn)行��,該惡意軟件即可操縱文件和目錄�,進(jìn)行系統(tǒng)配置文件,控制后門(mén)進(jìn)程,強(qiáng)制設(shè)備進(jìn)入睡眠或休眠模式��,更新后門(mén)配置并執(zhí)行接收到的命令���。
卡巴斯基的研究人員指出�����,對(duì)國(guó)防承包商和其他經(jīng)營(yíng)工業(yè)工廠的潛在目標(biāo)來(lái)說(shuō)�����,最危險(xiǎn)的方面是Lazarus克服網(wǎng)絡(luò)分割防御和橫向移動(dòng)到與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)的能力����。
卡巴斯基對(duì)一個(gè)受害者進(jìn)行了分析�,該受害者將其網(wǎng)絡(luò)分成了兩個(gè)部分,一個(gè)是企業(yè)網(wǎng)絡(luò)����,另一個(gè)是承載敏感數(shù)據(jù)的受限制網(wǎng)絡(luò),但不能直接上網(wǎng)��?��?ò退够J(rèn)為��,它已經(jīng)建立了網(wǎng)絡(luò)��,因此在兩個(gè)網(wǎng)段之間無(wú)法共享數(shù)據(jù)�。
公司部門(mén)的IT管理員可以連接到禁區(qū)進(jìn)行維護(hù),攻擊者在惡意軟件徹底感染了包括IT部門(mén)的計(jì)算機(jī)在內(nèi)的公司網(wǎng)絡(luò)后����,發(fā)現(xiàn)了此漏洞。
研究人員說(shuō):“攻擊者掃描路由器的端口并檢測(cè)到Webmin界面����。接下來(lái)�����,攻擊者使用特權(quán)根帳戶登錄到Web界面��?�!边@有效地將公司的服務(wù)器變成了代理����,從而使惡意軟件可以下載到網(wǎng)絡(luò)的分段部分并刪除數(shù)據(jù)�。
據(jù)悉��,網(wǎng)絡(luò)釣魚(yú)電子郵件本身是基本的��,其中包含惡意的Microsoft Word文檔或指向惡意遠(yuǎn)程服務(wù)器的鏈接���。這些攻擊中的社會(huì)工程學(xué)使用目標(biāo)感興趣的主題�����。此外���,報(bào)告指出,攻擊者會(huì)將內(nèi)容偽裝成來(lái)自受攻擊的組織���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
