图种再现?Lazarus组织将恶意代码隐藏在.BMP图像中
最近在一起针对韩国实体的鱼叉式网络钓鱼活动中发现,与朝鲜有关的APT组织Lazarus将恶意代码隐藏在了.BMP图像文件中以逃避检测。
隐藏在.BMP图像种的恶意代码可以在受害者的系统上安装一个远程访问木马(RAT),使攻击者可以窃取敏感信息。
来自Malwarebytes的研究人员表示,此次网络钓鱼活动是由分发带有恶意文件的电子邮件开始的,并且研究人员于4月13日发现了该文件。
此次钓鱼邮件所创建的诱骗文件声称是韩国某个城市的博览会的参与申请表,并提示用户在首次打开时启用宏。
该宏首先调用MsgBoxOKCancel函数,向用户弹出一个消息框,声称是微软Office的旧版本。在后台,该宏调用一个压缩为zlib文件的可执行HTA文件,该文件被包含在一个整体的PNG图像文件中。
该宏还通过调用WIA_ConvertImage函数将PNG格式的图像转换为BMP格式。专家指出,将PNG文件格式转换为BMP文件格式会自动解压从PNG嵌入到BMP的恶意zlib对象,因为BMP文件格式是未压缩的图形文件格式。利用这个技巧,攻击者可以避免检测到图像内的嵌入对象。
之后用户会触发感染链的攻击代码,最终投放一个名为 "AppStore.exe "的可执行文件。
然后,该有效载荷继续提取附加在自己身上的加密的第二阶段有效载荷,在运行时进行解码和解密,接着与远程服务器建立通信,接收额外的命令,并将这些命令的结果传回服务器。
此次活动与过去的Lazarus行动有许多相似之处,例如第二阶段的有效载荷使用了与Lazarus相关的BISTROMATH RAT所使用的类似的自定义加密算法。
Lazarus APT组织背景
Lazarus APT组织至少从2009年就开始活跃,一般认为该组织与朝鲜有关。其攻击方式主要是利用恶意软件。
该组织参与了众多网络间谍活动和破坏活动,拥有丰厚的“战绩”。一般认为该组织与大规模的WannaCry勒索软件攻击有关,此外,2016年的大量SWIFT攻击和索尼影业遭受的黑客攻击也被认为与该组织有所联系。
根据卡巴斯基2020年发布的报告,近两年,该组织持续针对加密货币交易所来演变其TTP。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
多达61%公司在2020年遭受勒索软件冲击
据Mimecast的最新电子邮件安全状况报告,企业在2020年面临前所未有的网络安全风险,在一项基于1200多名IT和网络安全从业人员的研究中,勒索软件影响高达61%,相比去年增加了20%,79%的人表示其公司在2020年由于缺乏网络准备而遭遇过业务中断、财务损失或其它问题。 据悉,受勒索软件影响,公司平均损失了6个工作日的系统停机时间,其中37%的公司表示停机时间持续了一周或更长时间。52%的勒索软件受害者支付了威胁者的赎金要求,其中66%的企业能够恢复数据,34%的企业尽管支付了赎金,也没有恢复数据。 此外,10家公司中有8家公司增加电子邮件的使用,47%的受访者表示他们看到电子邮件欺骗活动的增加。71%的人表示,他们担心协作工具中存档的对话带来风险。 40%的受访者表示,他们的组织在电子邮件安全的一个或多个关键领域存在不足,使员工面临网络钓鱼、恶意软件、商业电子邮件泄露和其他攻击。此外,43%的人说,员工对网络安全缺乏认识是他们最大的弱点之一。 【责任编辑:赵宁宁 TEL:(010)68476606】
- 下一篇
影响网络安全的因素有哪些?如何提高网络安全性?
网络安全指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行网络服务不中断。网络安全通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。影响网络安全的因素如下: 1、网络结构因素 网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的 内部网之前,各部门可能已建造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 2、网络协议因素 在建造内部网时用户为了节省开支必然会保护原有的网络基础设施。另外,网络公司为生存的需要对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 3、地域因素 由于内部网Intranet既可以是LAN也可能是WAN,网络往往跨越...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果