F-Secure表示,朝鲜黑客PWNED Cryptocurrency Sysadmin与GDPR-Themed Linkedin Lure说

点击此处启用您的权利...... HA,GOTCHA!


Infosec Biz F-Secure已发现朝鲜网络钓鱼活动,使用一般数据保护规范(GDPR)主题诱饵,以假的LinkedIn招聘广告为针对Sysadmin。

威胁英特尔公司表示,Sysadmin为加密货币公司工作,这使他成为饥饿状态黑客Lazarus集团的成熟目标,Aka Apt38据称由朝鲜支持。

“我们的研究包括我们的事件响应,管理检测和反应以及战术防御单位的见解,发现这种攻击与已知的拉撒库集团活动承担了许多相似之处,因此我们有信心的事件落后于此,” F-Secure的检测和反应总监MATT劳伦斯。

F-Secure表示,朝鲜攻击者基于英国,美国,荷兰,德国,新加坡和其他八个国家的荷兰,德国,新加坡和至少八个其他国家的“组织。

初始Lure是作为连接到LinkedIn消息的附件发送的恶意软件感染文件,敦促Sysadmin收件人以便在令人兴奋的新作业的详细信息中打开它。一旦打开,文件显示为此:

由朝鲜的拉撒路集团部署的GDPR-Themed Lure

由朝鲜的拉撒路集团部署的GDPR-Themed Lure

“如可以在[以上]图像中可以看出,声称的文档的恶意版本要受通用数据保护规则(GDPR)保护,并且在Word中启用该内容以访问该文档。然后,内容的启用将会启用导致恶意嵌入式宏代码执行,“F-Secure说。

在宏之后下载的恶意文件运行到2016年俄罗斯卡巴斯基实验室未发现的上一个APT38工具。

“拉撒路集团投入了重大努力,旨在逃避目标组织在攻击期间的防御,例如通过禁用受妥协的主机上的防病毒软件,并删除其恶意植入物的证据。虽然报告描述了复杂的攻击,但它指出拉西勒集团努力隐藏其存在的努力是不足以防止F-Secure恢复其活动证据的调查,“在一个罐头声明中的F-Secure说。

Lazarus集团以瞄准金融机构为目标,以便将虹吸的金钱返回朝鲜,其经济在旨在说服共产主义独裁统一不发展核武器的基础制裁中的数十年。

2014年,国有支持的黑客针对索尼图片,窃取敏感的内部文件; 2016年他们 距孟加拉国银行81米;一年后,他们揭示了他们的目标 从赌场到软件开发的一切都在金融软件上工作;去年他们完全超越了苍白 为麦斯科斯部署内存恶意软件。该小组也被认为是在Wannacry恶意软件后面 暂时瘫痪的英国国家卫生服务.

众所周知,众所周知,使用社会工程诱惑来部署其恶意软件,以及将如此明显的线索留给他们的身份,以至于Infosec研究人员定期想知道他们是否看到错误的旗帜攻击。 ®


您可能喜欢的其他故事

咬住它的手©1998-2021