Malwarebytes揭露Lazarus网钓攻击新手法,包括利用Windows Update客户端执行恶意程式码,在其掩护下躲避安全软体侦测
资安厂商Malwarebytes发现,北韩骇客Lazarus又开始活动,近日攻击更发展出以Windows Update客户端执行恶意程序以避免侦测,以及将GitHub当成外部控制服务器等新式手法。
Lazarus最初是在2014年攻击索尼影业(Sony Pictures)为人所知,而后以发动WannyCry蠕虫软件攻击,瘫痪全世界多个国家机场、企业及或关键设施闻名。
安全厂商Malwarebytes发现Lazarus两起手法新颖的钓鱼信件攻击。 两起攻击分别是发生于去年12月及今年初,都是透过冒名提供洛克希德马丁(Lockheed Martin)工作机会的Word档案以诱使用户下载开启,作为攻击第一步。
这些档案内含恶意宏,经用户开启后即展开攻击过程,包括下载恶意DLL文件及注入合法行程。 其中攻击者在exeplorer.exe加载drop_lnk.dll执行,以便在启动文件夹下载WindowsUpdateConf.lnk,并检视是否有wuaueng.dll,如果没有就再下载其他档案来完成下载这个dll。 研究人员指出,WindowsUpdateConf.lnk执行C:\Windows\system32\wuauclt.exe这个手法相当特殊,因为攻击者可利用Windows Update客户端执行恶意程式码,在其掩护下避免被安全软件侦测到。
若黑客检视没有wuaueng.dll,即额外下载runtimebroker.dll,在C:\Wíndows\system32\建立恶意目录再下载这个.dll档,这个手法也有助于隐匿踪迹。 透过下载wuaueng.dll这整个攻击链最重要的.dll文件,让受害者机器中的恶意程式得以和外部C&C服务器建立连线。
利用GitHub作为C&C服务器的手法,也是安全厂商第一次发现Lazarus黑客使用。 研究人员认为用它来进行短期的精准攻击相当聪明,因为安全软件很难分辨恶意和合法连线。
至于Lazarus骇客究竟在受害者电脑植入了何种核心模块,研究人员还不清楚,因为黑客已经从受害者电脑中将之清除。 目前仅知该模块并不会接触到磁盘,防毒软件不容易侦测到其存在。 此外,它会搜集用户用户名称、电脑名称、执行中的行程列表,并将信息传给C&C服务器。
微信扫一扫
相关推荐
-
Excel mid 函数,一大串姓名列表中,只提取姓氏的做法为例
相信很多人都有遇过一种情况,就是好不容易收集完资料后,才发现只需要部分文字内容,这种时候如果还要一个个将不需要的内容删除,一定会觉得很麻烦跟烦燥吧! 所以今天想要来跟大家分享 Ex…
-
Apple还没处理!平价骇客工具可攻击iPhone蓝牙漏洞,但最新版iOS尚未修复bug!
近来,一些无聊人士使用一款名为 Flipper Zero 的低成本骇客工具,对周围的 iPhone 或 iPad 进行恶作剧性,通过发送伪造的蓝牙弹窗(如 AirPods 配对界面…
-
再度改编动画!《王牌酒保 神之杯》动画化制作决定,确定将在 2024 年 4 月放送!
由城安良嬉担任原作、并由长友健筛负责作画的日本漫画作品《王牌酒保 Bartender》曾一度在 2006 年推出改编动画,现如今再次宣布新作动画化《王牌酒保 神之杯》制作决定,确定…
-
上午半天兼职80元(适合宝妈学生手机党,真有此事)
很多人由于各种原因不能出去工作,比如在家照顾孩子的宝妈,或者是业余时间比较少的学生,上班族等,可能每天只能抽出上午半天的时间。特别渴望能够利用上午半天的时间做些兼职项目,能够帮助自…
-
吉田直树理清《Final Fantasy XVI》PC版事件!限时独占完不代表就会直接登陆PC!
《Final Fantasy XVI》在公布之后,一直都是讨论度盛高的一款游戏。无论是系列完全转型成为动作游戏,还是有关登场召唤兽的选择,都是引人瞩目的事情。不过,其中讨论度最高的…
-
iPhone与Win11壁垒终于打通! 电脑一样可以接打电话
早在Win10中,微软就在系统中加入了“Phone Link”功能,允许用户的安卓设备与Windows系统互联,实现接打电话、收发短信等操作。 现在,该功能终于加入了对 iOS 系…
