圖片來源: 

wikimedia、pixabay

AT&T Alien Labs近日揭露,他們發現北韓駭客組織Lazarus(微軟稱之為Zinc)自今年春天開始,鎖定美國與歐洲的求職工程師發動攻擊,顯示Lazarus的攻擊對象已從資安工程師擴大到一般工程師。

AT&T Alien Labs為AT&T旗下的資安團隊,他們發現Lazarus自今年5月起,就開始假冒為新的國防承包商或是Airbus、General Motors(GM)與Rheinmetall等工程公司,發送夾帶惡意文件的招聘郵件,最早的替身為Rheinmetall。

Rheinmetall是德國的國防與裝甲車製造商,Lazarus寄出了夾帶巨集病毒的Windows文件,該巨集是個64位元的編碼文件,可在執行的時候解壓縮,巨集內有些檔案一直到解壓縮才合併,以用來躲避偵測,此外,它還複製且更名了合法的微軟執行檔Certutil.exe,以用來躲避可追蹤來源的端點偵測系統,在成功進駐受害者系統之後,再與Lazarus的命令暨控制伺服器連線。

image: GRUzzly Bear at twitter

針對Rheinmetall求職者發動攻擊的幾周後,Lazarus駭客先把目標轉向GM,6月再加入Airbus。除了所仿冒的企業不同之外,Lazarus駭客的手法與技術是一致的。

先前Google與微軟都曾揭露Lazarus正鎖定資安研究人員展開攻擊,根據微軟的分析,當時駭客是透過瀏覽器的安全漏洞,誘導資安研究人員造訪惡意網站,再於受害者系統上植入惡意程式。

而根據AT&T Alien Labs的追蹤,Lazarus也擅長利用微軟Office文件下載遠端範本、Office巨集或是先危害第三方基礎設施等途徑展開攻擊,亦警告Lazarus有可能透過類似的技術,來入侵政府組織的工程專家,提醒各界小心。


熱門新聞

Advertisement