圖種再現(xiàn)�����?Lazarus組織將惡意代碼隱藏在.BMP圖像中
2021年04月21日
最近在一起針對(duì)韓國(guó)實(shí)體的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)中發(fā)現(xiàn)�����,與朝鮮有關(guān)的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測(cè)��。
隱藏在.BMP圖像種的惡意代碼可以在受害者的系統(tǒng)上安裝一個(gè)遠(yuǎn)程訪問木馬(RAT)�����,使攻擊者可以竊取敏感信息�。
來自Malwarebytes的研究人員表示��,此次網(wǎng)絡(luò)釣魚活動(dòng)是由分發(fā)帶有惡意文件的電子郵件開始的����,并且研究人員于4月13日發(fā)現(xiàn)了該文件。
此次釣魚郵件所創(chuàng)建的誘騙文件聲稱是韓國(guó)某個(gè)城市的博覽會(huì)的參與申請(qǐng)表����,并提示用戶在首次打開時(shí)啟用宏。
該宏首先調(diào)用MsgBoxOKCancel函數(shù)�����,向用戶彈出一個(gè)消息框,聲稱是微軟Office的舊版本���。在后臺(tái)�����,該宏調(diào)用一個(gè)壓縮為zlib文件的可執(zhí)行HTA文件�����,該文件被包含在一個(gè)整體的PNG圖像文件中�����。
該宏還通過調(diào)用WIA_ConvertImage函數(shù)將PNG格式的圖像轉(zhuǎn)換為BMP格式���。專家指出,將PNG文件格式轉(zhuǎn)換為BMP文件格式會(huì)自動(dòng)解壓從PNG嵌入到BMP的惡意zlib對(duì)象����,因?yàn)锽MP文件格式是未壓縮的圖形文件格式。利用這個(gè)技巧�����,攻擊者可以避免檢測(cè)到圖像內(nèi)的嵌入對(duì)象。
之后用戶會(huì)觸發(fā)感染鏈的攻擊代碼����,最終投放一個(gè)名為 "AppStore.exe "的可執(zhí)行文件。
然后����,該有效載荷繼續(xù)提取附加在自己身上的加密的第二階段有效載荷�,在運(yùn)行時(shí)進(jìn)行解碼和解密,接著與遠(yuǎn)程服務(wù)器建立通信��,接收額外的命令���,并將這些命令的結(jié)果傳回服務(wù)器�。
此次活動(dòng)與過去的Lazarus行動(dòng)有許多相似之處�����,例如第二階段的有效載荷使用了與Lazarus相關(guān)的BISTROMATH RAT所使用的類似的自定義加密算法�。
Lazarus APT組織背景
Lazarus APT組織至少?gòu)?009年就開始活躍,一般認(rèn)為該組織與朝鮮有關(guān)�。其攻擊方式主要是利用惡意軟件�。
該組織參與了眾多網(wǎng)絡(luò)間諜活動(dòng)和破壞活動(dòng)�����,擁有豐厚的“戰(zhàn)績(jī)”���。一般認(rèn)為該組織與大規(guī)模的WannaCry勒索軟件攻擊有關(guān)�,此外�,2016年的大量SWIFT攻擊和索尼影業(yè)遭受的黑客攻擊也被認(rèn)為與該組織有所聯(lián)系。
根據(jù)卡巴斯基2020年發(fā)布的報(bào)告��,近兩年�����,該組織持續(xù)針對(duì)加密貨幣交易所來演變其TTP����。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://nblsxs.com/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
