WithSecure 的研究人員發現了與朝鮮臭名昭著的拉撒路集團有關的網絡攻擊活動。
像 WithSecure 在這裡所做的那樣,能夠將活動與犯罪者如此強烈地聯繫起來是極其罕見的。黑客一直以從事間諜活動為目的的醫療研究和能源組織為目標。
目標包括醫療保健研究組織、能源、研究、國防和醫療保健領域所用技術的製造商,以及作為領先研究型大學的化學工程系。
與之前的 Lazarus 活動相比,這次活動有幾個有趣的元素。其中包括使用新的基礎設施,完全依賴沒有域名的 IP 地址(與之前的攻擊不同)。
還有 Lazarus Group 使用的 Dtrack 信息竊取惡意軟件的修改版本和Kimsuky——另一個與朝鮮有關聯的組織——在之前的攻擊中,以及新版本的 GREASE——允許攻擊者創建具有遠程桌面協議特權的新管理員帳戶繞過防火牆的惡意軟件。
”雖然這最初被懷疑是 BianLian 勒索軟件攻擊未遂,但我們收集的證據很快指向了不同的方向。隨著我們收集到更多證據,我們更加確信這次攻擊是由一個與朝鮮政府有關聯的團體進行的,最終WithSecure 的高級威脅情報研究員 Sami Ruohonen 說,這讓我們自信地得出結論,這是 Lazarus Group 所為。
此次攻擊的部分原因是攻擊者短暫地使用了屬於朝鮮的不到 1000 個 IP 地址中的一個錯誤。 opsec 失敗,攻擊者展示了良好的交易技巧,並且仍然設法在精心選擇的端點上執行經過深思熟慮的操作。即使使用準確的端點檢測技術,組織也需要不斷考慮他們如何響應警報,並將重點威脅情報與定期搜尋相結合,以提供更好的縱深防禦,尤其是針對有能力和熟練的對手。”
完整報告是在 WithSecure 網站上可用。
圖片來源:tang90246/depositphotos.com