主要观点总结
本文介绍了Lazarus组织对加密货币领域的攻击活动,包括在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员,通过安装带有恶意代码的程序进行密币窃取。文章还提供了样本分析,包括恶意软件的MD5、SHA1、SHA256等描述,以及核心的远控代码功能描述和IOC。
关键观点总结
关键观点1: Lazarus组织背景及攻击目标
Lazarus是具有国家背景的东北亚APT组织,自2009年以来一直活跃,攻击目标广泛,包括对加密货币领域的持续兴趣。该组织通过在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员。
关键观点2: 攻击活动细节
Lazarus组织使用Python存储库PyPI投毒事件以来,对轻量级的python、Javascript武器库愈发青睐。虽然相关攻击事件已经多次被披露,但很多攻击资产依然大量存活。该组织通过在社交平台发布信息,进一步引诱目标人员安装带有恶意代码的程序,进行密币窃取活动。
关键观点3: 样本分析与恶意软件描述
Lazarus组织诱导目标人员安装的带毒项目覆盖Windows、Linux、MacOS平台,后续使用的载荷多为轻量级的同类型python窃密木马。文章提供了恶意软件的MD5、SHA1、SHA256等描述,以及核心的远控代码功能描述。
文章预览
1 概述 Lazarus是具有国家背景的东北亚APT组织,至少自 2009 年以来一直活跃。Lazarus攻击目标广泛,当前已发展为包含多个分支机构的复杂黑客团伙。区别于其他APT组织,Lazarus最常见的攻击活动目的为敛财。近十年间,Lazarus对加密货币领域一直保持高度兴趣。微步情报局发现,自Lazarus使用Python存储库PyPI投毒事件以来,Lazarus对于轻量级的python、Javascript武器库愈发青睐。虽然相关攻击事件已经多次被披露,但很多攻击资产依然大量存活。在朝鲜半岛区域政治局势更加紧张的当下,不排除Lazarus在今后更为活跃的可能性。 Lazarus组织通过在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员,目标人员上钩后,进一步引诱目标人员安装视频面试相关的带毒工具或带毒的密币项目,以此展开密币窃取活动。 Lazarus组织该系列对加密货币领域的活动
………………………………
