朝鲜的拉撒路靶向加密货币垂直
Lazarus集团,先进的持续威胁(APT)组与朝鲜政府的利益一致,正在协调一项针对位于德国,日本,荷兰,新加坡,英国和英国的加密货币垂直的组织的网络攻击运动根据F-Secure的新研究,我们。
Lazarus,它也是由APT38的名义而追求的,并落后于2014年的Sony图片和2017年的Wannacry事件,由F-Seque的研究人员在受害者处由芬兰安全公司进行的事件回复调查期间被F-Seque的研究人员手指。在此过程中,它发现,攻击中使用的恶意植入物几乎与Lazarus以前使用的其他工具相同。
“我们的研究包括我们的事件响应,管理检测和反应以及战术防御单位的见解,发现这种攻击与已知的拉撒库集团活动承担了许多相似之处,因此我们有信心的事件落后于此,” Matt Lawrence,F-Secure的检测和响应总监。
“证据还建议这是一个针对十几个国家的持续活动的一部分,这使得归属于重要。公司可以使用该报告熟悉此事件,TTPS [策略,技术和程序],以及Lazarus集团一般,帮助保护自己免受未来的攻击。“
在新出版的报告中,F-Secure阐述了攻击的详细信息,似乎首先通过LinkedIn通过针对其目标的个人资料量身定制的假工作机会的形式进行了令人信服的矛网络钓鱼攻击。
此网络钓鱼电子邮件与上传到Virustotal的公开样本非常相似,并包含由一般数据保护规范(GDPR)保护的文档,并且需要在Microsoft Word中启用。启用此内容导致在受害者系统上执行恶意嵌入式宏代码。
该报告继续详细说明这种特定运动中使用的感染链,以及拉撒路使用的其他TTP。
劳伦斯警告说,拉撒路在攻击期间投入了重大努力,以逃避其目标的防御,例如禁用妥协的主持人的防病毒软件,并消除恶意植入物的证据。
这不是Lazarus首次被联系起来攻击加密货运运营商 - 这可能与窃取金钱的相对简单的议程犯下,为孤立的朝鲜贫困的朝鲜制度产生资金。
本集团的注意力首先转向2017年韩国加密货币交易所,当它掠夺了距离Bithymbumb交换700万美元。随后的研究将其与其他矛盾的活动联系起来,以及针对韩国目标的其他矛网络钓鱼活动,以及加密。
F-Secure表示拉扎鲁斯仍然是一个持续威胁的威胁,并且加密货币垂直的组织应该特别警惕,尽管它还警告说,该活动可能扩展到垂直的目标供应链元素,以及一些较新的指挥和控制(C2)基础设施在研究期间确定表明它也可能希望目标是金融投资组织。
幸运的是,该报告所述,拉撒路正在重用工具,以跨多个广告系列的目标清楚地工作,因此检测相对容易。它建议这可能意味着该集团缺乏轻松回报的能力。