Lazarus黑客组织最新武器锁定南非货运公司
2021-04-09 16:16:21 Author: www.freebuf.com(查看原文) 阅读量:158 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

研究人员发现Lazarus黑客组织在针对货运行业的定向攻击中所采用了一种新的后门。

1617952532_606fff1406e546a7518db.png!small?1617952533229

知名电脑安全软件公司ESET表示,在针对南非一家货运和物流公司的攻击中发现了一个新的后门恶意软件,被称为Vyveva。

虽然部署该恶意软件的初始攻击载体尚不清楚,但对感染该恶意软件的机器进行检查后发现,该恶意软件与Lazarus集团存在紧密联系。

Lazarus是一个朝鲜的高级持续性威胁(APT)组织。这个由国家支持的APT组织十分活跃,目前被认为与其有联系的事件有:

WannaCry勒索软件爆发

8000万美元的孟加拉国银行抢劫案

对韩国供应链发起攻击,进行加密货币盗窃

2014年的索尼黑客事件

...

新发现的武器,在2018年就可能在使用

Vyveva是Lazarus武器库中最新发现的武器之一。该后门最早是在2020年6月被发现的,但至少从2018年开始就可能在使用。

该后门能够窃取文件,从受感染的机器及其驱动器收集数据,远程连接到命令和控制(C2)服务器并运行任意代码。

此外,该后门还使用虚假的TLS连接进行网络通信,通过Tor网络连接到其C2的组件,以及APT组织在过去的活动中采用的命令行执行链。

Vyveva与旧的Lazarus恶意软件系列Manuscrypt/NukeSped在编码上有相似之处。

Vyveva还包括一个 "timestomping "选项,允许时间戳创建/写/访问的时间从 "捐赠者 "文件被复制。复制文件时还有一个有趣的功能:过滤出特定的扩展名,只专注于特定类型的内容,如微软Office文件,进行窃取。

后门通过看门狗模块每三分钟联系其C2,向其操作员发送数据流,包括驱动器何时连接或断开,以及活动会话和登录用户的数量 ,该活动可能与网络间谍有关。

来源:zdnet


文章来源: https://www.freebuf.com/news/269047.html
如有侵权请联系:admin#unsafe.sh