Lazarus黑客組織最新武器鎖定南非貨運公司
作者:三分淺土
研究人員發現Lazarus黑客組織在針對貨運行業的定向攻擊中所采用了一種新的后門。
研究人員發現Lazarus黑客組織在針對貨運行業的定向攻擊中所采用了一種新的后門。
知名電腦安全軟件公司ESET表示,在針對南非一家貨運和物流公司的攻擊中發現了一個新的后門惡意軟件,被稱為Vyveva。
雖然部署該惡意軟件的初始攻擊載體尚不清楚,但對感染該惡意軟件的機器進行檢查后發現,該惡意軟件與Lazarus集團存在緊密聯系。
Lazarus是一個朝鮮的高級持續性威脅(APT)組織。這個由國家支持的APT組織十分活躍,目前被認為與其有聯系的事件有:
- WannaCry勒索軟件爆發
- 8000萬美元的孟加拉國銀行搶劫案
- 對韓國供應鏈發起攻擊,進行加密貨幣盜竊
- 2014年的索尼黑客事件
- ...
新發現的武器,在2018年就可能在使用
Vyveva是Lazarus武器庫中最新發現的武器之一。該后門最早是在2020年6月被發現的,但至少從2018年開始就可能在使用。
該后門能夠竊取文件,從受感染的機器及其驅動器收集數據,遠程連接到命令和控制(C2)服務器并運行任意代碼。
此外,該后門還使用虛假的TLS連接進行網絡通信,通過Tor網絡連接到其C2的組件,以及APT組織在過去的活動中采用的命令行執行鏈。
Vyveva與舊的Lazarus惡意軟件系列Manuscrypt/NukeSped在編碼上有相似之處。
Vyveva還包括一個 "timestomping "選項,允許時間戳創建/寫/訪問的時間從 "捐贈者 "文件被復制。復制文件時還有一個有趣的功能:過濾出特定的擴展名,只專注于特定類型的內容,如微軟Office文件,進行竊取。
后門通過看門狗模塊每三分鐘聯系其C2,向其操作員發送數據流,包括驅動器何時連接或斷開,以及活動會話和登錄用戶的數量 ,該活動可能與網絡間諜有關。
來源:zdnet
責任編輯:趙寧寧
來源:
FreeBuf
