圖種再現(xiàn)?Lazarus組織將惡意代碼隱藏在.BMP圖像中
2021年04月21日
最近在一起針對韓國實體的魚叉式網(wǎng)絡(luò)釣魚活動中發(fā)現(xiàn)��,與朝鮮有關(guān)的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測���。
隱藏在.BMP圖像種的惡意代碼可以在受害者的系統(tǒng)上安裝一個遠(yuǎn)程訪問木馬(RAT)���,使攻擊者可以竊取敏感信息。
來自Malwarebytes的研究人員表示�����,此次網(wǎng)絡(luò)釣魚活動是由分發(fā)帶有惡意文件的電子郵件開始的����,并且研究人員于4月13日發(fā)現(xiàn)了該文件����。
此次釣魚郵件所創(chuàng)建的誘騙文件聲稱是韓國某個城市的博覽會的參與申請表�����,并提示用戶在首次打開時啟用宏����。
該宏首先調(diào)用MsgBoxOKCancel函數(shù),向用戶彈出一個消息框����,聲稱是微軟Office的舊版本。在后臺�,該宏調(diào)用一個壓縮為zlib文件的可執(zhí)行HTA文件,該文件被包含在一個整體的PNG圖像文件中���。
該宏還通過調(diào)用WIA_ConvertImage函數(shù)將PNG格式的圖像轉(zhuǎn)換為BMP格式�����。專家指出��,將PNG文件格式轉(zhuǎn)換為BMP文件格式會自動解壓從PNG嵌入到BMP的惡意zlib對象���,因為BMP文件格式是未壓縮的圖形文件格式��。利用這個技巧�,攻擊者可以避免檢測到圖像內(nèi)的嵌入對象�。
之后用戶會觸發(fā)感染鏈的攻擊代碼���,最終投放一個名為 "AppStore.exe "的可執(zhí)行文件�����。
然后�,該有效載荷繼續(xù)提取附加在自己身上的加密的第二階段有效載荷��,在運(yùn)行時進(jìn)行解碼和解密�,接著與遠(yuǎn)程服務(wù)器建立通信,接收額外的命令��,并將這些命令的結(jié)果傳回服務(wù)器�����。
此次活動與過去的Lazarus行動有許多相似之處�����,例如第二階段的有效載荷使用了與Lazarus相關(guān)的BISTROMATH RAT所使用的類似的自定義加密算法。
Lazarus APT組織背景
Lazarus APT組織至少從2009年就開始活躍����,一般認(rèn)為該組織與朝鮮有關(guān)。其攻擊方式主要是利用惡意軟件�����。
該組織參與了眾多網(wǎng)絡(luò)間諜活動和破壞活動�,擁有豐厚的“戰(zhàn)績”。一般認(rèn)為該組織與大規(guī)模的WannaCry勒索軟件攻擊有關(guān)����,此外,2016年的大量SWIFT攻擊和索尼影業(yè)遭受的黑客攻擊也被認(rèn)為與該組織有所聯(lián)系��。
根據(jù)卡巴斯基2020年發(fā)布的報告����,近兩年,該組織持續(xù)針對加密貨幣交易所來演變其TTP��。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務(wù)
