您现在的位置是:首页 > 文章详情

图种再现?Lazarus组织将恶意代码隐藏在.BMP图像中

日期:2021-04-21点击:250

最近在一起针对韩国实体的鱼叉式网络钓鱼活动中发现,与朝鲜有关的APT组织Lazarus将恶意代码隐藏在了.BMP图像文件中以逃避检测。

1618977430_607fa29621374c326cffb.png!small

隐藏在.BMP图像种的恶意代码可以在受害者的系统上安装一个远程访问木马(RAT),使攻击者可以窃取敏感信息。

来自Malwarebytes的研究人员表示,此次网络钓鱼活动是由分发带有恶意文件的电子邮件开始的,并且研究人员于4月13日发现了该文件。

1618977450_607fa2aa02d214e479df6.png!small

此次钓鱼邮件所创建的诱骗文件声称是韩国某个城市的博览会的参与申请表,并提示用户在首次打开时启用宏。

该宏首先调用MsgBoxOKCancel函数,向用户弹出一个消息框,声称是微软Office的旧版本。在后台,该宏调用一个压缩为zlib文件的可执行HTA文件,该文件被包含在一个整体的PNG图像文件中。

该宏还通过调用WIA_ConvertImage函数将PNG格式的图像转换为BMP格式。专家指出,将PNG文件格式转换为BMP文件格式会自动解压从PNG嵌入到BMP的恶意zlib对象,因为BMP文件格式是未压缩的图形文件格式。利用这个技巧,攻击者可以避免检测到图像内的嵌入对象。

之后用户会触发感染链的攻击代码,最终投放一个名为 "AppStore.exe "的可执行文件。

然后,该有效载荷继续提取附加在自己身上的加密的第二阶段有效载荷,在运行时进行解码和解密,接着与远程服务器建立通信,接收额外的命令,并将这些命令的结果传回服务器。

此次活动与过去的Lazarus行动有许多相似之处,例如第二阶段的有效载荷使用了与Lazarus相关的BISTROMATH RAT所使用的类似的自定义加密算法。

Lazarus APT组织背景

Lazarus APT组织至少从2009年就开始活跃,一般认为该组织与朝鲜有关。其攻击方式主要是利用恶意软件。

该组织参与了众多网络间谍活动和破坏活动,拥有丰厚的“战绩”。一般认为该组织与大规模的WannaCry勒索软件攻击有关,此外,2016年的大量SWIFT攻击和索尼影业遭受的黑客攻击也被认为与该组织有所联系。

根据卡巴斯基2020年发布的报告,近两年,该组织持续针对加密货币交易所来演变其TTP。

原文链接:http://netsecurity.51cto.com/art/202104/658591.htm
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章