[[385976]]

新的研究顯示，一個曾經作案多起的被稱為Lazarus的朝鮮APT組織最近發動了一次魚叉式釣魚攻擊活動，他們通過利用一個名為ThreatNeedle的高級惡意軟件從國防部門竊取了大量關鍵數據。

根據卡巴斯基的說法，他們在2020年中期首次觀察到了這種攻擊活動。這場攻擊持續時間很長，網絡攻擊者在這里使用了帶有COVID-19主題的電子郵件并結合了受害者的公開的個人信息，這樣使得他們很容易上當受騙。

卡巴斯基研究人員Vyacheslav Kopeytsev和Seongsu Park在周四發表的一篇博客文章中表示，他們確定有十多個國家的組織在此次攻擊中受到了影響。他們說，犯罪分子成功地竊取了敏感數據，并將其傳輸到了Lazazrus控制的遠程服務器上。

研究人員表示，他們已經跟蹤Manuscrypt(又名NukeSped)的高級惡意軟件集群ThreatNeedle大約兩年了，最后發現Lazarus APT是幕后指使者。

卡巴斯基稱，根據惡意攻擊的目標，

我們將Lazarus評選為2020年最活躍的網絡犯罪團伙，因為這個臭名昭著的APT會針對各行各業進行攻擊。

研究人員觀察到，雖然此前該組織主要是在為金正恩政府爭取資金，但現在其關注點已經轉移到了網絡間諜活動上。他們不僅針對國防部門進行攻擊活動，而且還對其他行業進行攻擊，如12月披露的竊取COVID-19疫苗信息的攻擊事件和針對安全研究人員的攻擊事件。

研究人員仔細研究了最新攻擊活動的整個過程，他們說這有助于他們深入了解Lazarus的攻擊特點，以及各個攻擊活動之間的聯系。研究人員說，該組織主要使用電子郵件進行攻擊，郵件內容是關于COVID-19的，他們還會在郵件內容中提及受害者的個人信息，這樣可以降低受害者的警惕性，也使郵件看起來更加合法合理。

卡巴斯基稱，Lazarus在選擇攻擊目標之前已經做足了信息調查，但剛開始進行的魚叉式釣魚攻擊進行的并不順利。在發起攻擊之前，該組織研究了目標組織的公開信息，并找到了該公司各部門的電子郵件地址。

研究人員表示，犯罪分子制作了有關COVID-19內容的釣魚郵件，這些郵件要么附上了一個惡意的Word文檔，或者包含了一個托管在遠程服務器上的鏈接，這些惡意郵件都會發送到目標部門的各個電子郵件地址中。

Kopeytsev和Park說：

這些釣魚郵件是精心制作的，郵件的署名是一個醫療中心，同時該醫療中心也是此次攻擊的受害者。

為了使電子郵件看起來更加真實，攻擊者在公共電子郵件服務中注冊了賬戶，這樣可以使發件人的電子郵件地址與醫療中心的真實電子郵件地址看起來很相似，同時在電子郵件簽名中使用了被攻擊的醫療中心副主任醫生的個人資料。

然而，研究人員觀察到這些攻擊中存在一些失誤。攻擊的有效載荷被隱藏在了一個啟用了宏的微軟Word文檔的附件中。然而，該文檔的內容卻是關于人口健康評估程序的信息，而不是有關COVID-19的信息，研究人員說，這意味著網絡攻擊者可能實際上并沒有完全理解他們在攻擊中所利用的電子郵件的內容。

最初進行的魚叉式釣魚攻擊也沒有成功，這是因為目標系統的微軟Office中禁用了宏功能。為了使目標運行惡意宏代碼，攻擊者隨后又發送出了一封郵件，展示如何在微軟Office中啟用宏功能。但據研究人員觀察，那封郵件發送的啟用宏的方法也與受害者所使用的Office版本不兼容，因此攻擊者不得不再發一封郵件來解釋。

研究人員表示，攻擊者最終是在6月3日攻擊成功，當時員工打開了其中的一個惡意文檔，使攻擊者獲得了對受感染系統的遠程控制權限。

惡意軟件一旦被部署，ThreatNeedle會經過三個階段來完成攻擊過程，ThreatNeedle由安裝程序、加載器和后門組成，該軟件能夠操縱文件和目錄、進行系統分析、控制后門進程、執行接收到的命令等。

研究人員稱，攻擊者進入系統后，他們會繼續使用一個名為Responder的工具來收集憑證，然后進行橫向移動，尋找受害者網絡環境中的重要資產。

他們還想出了一種打破網絡隔離的方法，在獲得內部路由器的訪問權限后，可以將其配置為代理服務器，使它能夠使用定制的工具從內網網絡中傳輸出被竊取的數據，然后將其發送到遠程服務器上。

他們說，在調查的過程中，研究人員發現了此次攻擊與之前發現的其他攻擊之間的聯系。其中一個被稱為DreamJob行動，另一個被稱為AppleJesus行動，這兩個攻擊都被懷疑是朝鮮APT所為。

卡巴斯基稱，"這項調查使我們能夠在Lazarus進行的多個攻擊活動之間找到內在的聯系"，并且也發現了該組織進行各種攻擊時所使用的攻擊策略和各種基礎設施。

本文翻譯自：https://threatpost.com/lazarus-targets-defense-threatneedle-malware/164321/如若轉載，請注明原文地址。