APT黑客组织Lazarus再度活跃,这次盯上了数字货币

作者 | 发布日期 2018 年 03 月 12 日 8:11 | 分类 Fintech , 网络 , 资讯安全
anonymous-2755365_960_720

3月9日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。



从Adobe漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击,与Lazarus主要攻击目标一致,进一步验证了Lazarus组织就是本次攻击活动的发起者。

据了解,Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露,但是该组织从未停止攻击的脚步,同时还把攻击目标不断扩大,包括能源、军事、政府等部门专项金融机构,尤其是数字货币交易所等,该组织堪称全球金融机构的最大威胁。

Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾,将邮件文档伪装成协议、最流行的加密货币交易所的安全分析、IT安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载运行。

5aa215ce4ed2c
诱饵文档内容

通过分析溯源发现,该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马,最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能,用户一旦中招,电脑重要信息将面临极大威胁。

尽管该攻击目前尚未在我国发现,但国内用户仍不可放松警惕,不要轻易点击来历不明的文件。

(本文由 雷锋网 授权转载;首图来源:Pixabay

如需获取更多资讯,请关注微信公众账号:Technews科技新报

雷锋网

雷锋网专注于移动互联网。 雷锋网由一群移动互联网的信徒建立,。 雷锋网努力做好移动互联网的三个代表,代表移动互联网未来发展的方向,代表移动互联网的颠覆创新思潮,代表移动互联网创业者和从业者的利益。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。

直接使用新浪微博发表评论

 

发表评论