圖片來源: 

wikimedia、pixabay

資安廠商Malwarebytes發現,北韓駭客Lazarus又開始活動,近日攻擊更發展出以Windows Update用戶端執行惡意程式以避免偵測,以及將GitHub當成外部控制伺服器等新式手法。

Lazarus最初是在2014年攻擊索尼影業(Sony Pictures)為人所知,而後以發動WannyCry蠕蟲軟體攻擊,癱瘓全世界多個國家機場、企業及或關鍵設施聞名。

安全廠商Malwarebytes發現Lazarus兩起手法新穎的釣魚信件攻擊。兩起攻擊分別是發生於去年12月及今年初,都是透過冒名提供洛克希德馬丁(Lockheed Martin)工作機會的Word檔案以誘使用戶下載開啟,作為攻擊第一步。

圖片來源/Malwarebytes

這些檔案內含惡意巨集,經用戶開啟後即展開攻擊過程,包括下載惡意DLL檔及注入合法行程。其中攻擊者在exeplorer.exe載入drop_lnk.dll執行,以便在啟動資料夾下載WindowsUpdateConf.lnk,並檢視是否有wuaueng.dll,如果沒有就再下載其他檔案來完成下載這個dll。研究人員指出,WindowsUpdateConf.lnk執行C:\Windows\system32\wuauclt.exe這個手法相當特殊,因為攻擊者可利用Windows Update用戶端執行惡意程式碼,在其掩護下避免被安全軟體偵測到。

若駭客檢視沒有wuaueng.dll,即額外下載runtimebroker.dll,在C:\Wíndows\system32\建立惡意目錄再下載這個.dll檔,這個手法也有助於隱匿蹤跡。透過下載wuaueng.dll這整個攻擊鏈最重要的.dll檔,讓受害者機器中的惡意程式得以和外部C&C伺服器建立連線。

利用GitHub作為C&C伺服器的手法,也是安全廠商第一次發現Lazarus駭客使用。研究人員認為用它來進行短期的精準攻擊相當聰明,因為安全軟體很難分辨惡意和合法連線。

圖片來源/Malwarebytes

至於Lazarus駭客究竟在受害者電腦植入了何種核心模組,研究人員還不清楚,因為駭客已經從受害者電腦中將之清除。目前僅知該模組並不會接觸到磁碟,防毒軟體不容易偵測到其存在。此外,它會蒐集用戶使用者名稱、電腦名稱、執行中的行程清單,並將資訊傳給C&C伺服器。

熱門新聞

Advertisement