2021年03月04日
3月4日訊卡巴斯基的研究人員表示,由朝鮮支持的高級持久威脅組織Lazarus一直在利用一種名為“威脅針”的后門,對十幾個國家的國防工業(yè)目標進行打擊。這種后門可以在網(wǎng)絡中橫向移動,消除網(wǎng)絡細分。
研究人員指出,這項始于2020年的網(wǎng)絡攻擊行動正在進行中,它使用了一種多步驟方法,以魚叉式網(wǎng)絡釣魚攻擊開始,最終導致Lazarus完全控制了受害者的設備。
卡巴斯基高級威脅研究人員表示:“我們觀察到他們如何通過訪問內部路由器并將其配置為代理服務器來克服網(wǎng)絡分割,允許他們將竊取的數(shù)據(jù)從內部網(wǎng)竊取到他們的遠程服務器。”
據(jù)悉,這并非Lazarus首次使用“威脅針”后門,“威脅針”后門也被稱為APT38和隱藏的眼鏡蛇。研究人員指出,從2018年2月開始,朝鮮黑客集團開始利用它來對抗香港的一家加密貨幣交易所和一家未具名的手機游戲開發(fā)商。
早前,三名與Lazarus有關的朝鮮人被美國司法部起訴,指控稱,他們試圖從世界各地的銀行和其他組織竊取或勒索13億美元的加密貨幣和現(xiàn)金。目前尚不清楚這三人是否參與了卡巴斯基的攻擊。
根據(jù)報告,一旦下載并運行,該惡意軟件即可操縱文件和目錄,進行系統(tǒng)配置文件,控制后門進程,強制設備進入睡眠或休眠模式,更新后門配置并執(zhí)行接收到的命令。
卡巴斯基的研究人員指出,對國防承包商和其他經(jīng)營工業(yè)工廠的潛在目標來說,最危險的方面是Lazarus克服網(wǎng)絡分割防御和橫向移動到與互聯(lián)網(wǎng)隔離的網(wǎng)絡的能力。
卡巴斯基對一個受害者進行了分析,該受害者將其網(wǎng)絡分成了兩個部分,一個是企業(yè)網(wǎng)絡,另一個是承載敏感數(shù)據(jù)的受限制網(wǎng)絡,但不能直接上網(wǎng)。卡巴斯基認為,它已經(jīng)建立了網(wǎng)絡,因此在兩個網(wǎng)段之間無法共享數(shù)據(jù)。
公司部門的IT管理員可以連接到禁區(qū)進行維護,攻擊者在惡意軟件徹底感染了包括IT部門的計算機在內的公司網(wǎng)絡后,發(fā)現(xiàn)了此漏洞。
研究人員說:“攻擊者掃描路由器的端口并檢測到Webmin界面。接下來,攻擊者使用特權根帳戶登錄到Web界面。”這有效地將公司的服務器變成了代理,從而使惡意軟件可以下載到網(wǎng)絡的分段部分并刪除數(shù)據(jù)。
據(jù)悉,網(wǎng)絡釣魚電子郵件本身是基本的,其中包含惡意的Microsoft Word文檔或指向惡意遠程服務器的鏈接。這些攻擊中的社會工程學使用目標感興趣的主題。此外,報告指出,攻擊者會將內容偽裝成來自受攻擊的組織。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
