圖種再現����?Lazarus組織將惡意代碼隱藏在.BMP圖像中
2021年04月21日
最近在一起針對韓國實體的魚叉式網絡釣魚活動中發現�,與朝鮮有關的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測�。
隱藏在.BMP圖像種的惡意代碼可以在受害者的系統上安裝一個遠程訪問木馬(RAT),使攻擊者可以竊取敏感信息�。
來自Malwarebytes的研究人員表示�,此次網絡釣魚活動是由分發帶有惡意文件的電子郵件開始的���,并且研究人員于4月13日發現了該文件���。
此次釣魚郵件所創建的誘騙文件聲稱是韓國某個城市的博覽會的參與申請表����,并提示用戶在首次打開時啟用宏�。
該宏首先調用MsgBoxOKCancel函數,向用戶彈出一個消息框����,聲稱是微軟Office的舊版本�����。在后臺,該宏調用一個壓縮為zlib文件的可執行HTA文件��,該文件被包含在一個整體的PNG圖像文件中����。
該宏還通過調用WIA_ConvertImage函數將PNG格式的圖像轉換為BMP格式。專家指出,將PNG文件格式轉換為BMP文件格式會自動解壓從PNG嵌入到BMP的惡意zlib對象,因為BMP文件格式是未壓縮的圖形文件格式。利用這個技巧���,攻擊者可以避免檢測到圖像內的嵌入對象。
之后用戶會觸發感染鏈的攻擊代碼,最終投放一個名為 "AppStore.exe "的可執行文件�����。
然后����,該有效載荷繼續提取附加在自己身上的加密的第二階段有效載荷,在運行時進行解碼和解密,接著與遠程服務器建立通信���,接收額外的命令�����,并將這些命令的結果傳回服務器���。
此次活動與過去的Lazarus行動有許多相似之處����,例如第二階段的有效載荷使用了與Lazarus相關的BISTROMATH RAT所使用的類似的自定義加密算法����。
Lazarus APT組織背景
Lazarus APT組織至少從2009年就開始活躍�,一般認為該組織與朝鮮有關���。其攻擊方式主要是利用惡意軟件�。
該組織參與了眾多網絡間諜活動和破壞活動,擁有豐厚的“戰績”。一般認為該組織與大規模的WannaCry勒索軟件攻擊有關���,此外,2016年的大量SWIFT攻擊和索尼影業遭受的黑客攻擊也被認為與該組織有所聯系。
根據卡巴斯基2020年發布的報告,近兩年,該組織持續針對加密貨幣交易所來演變其TTP��。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
