首先,这是一个在无工程文件样本的情况下进行的复现。
已有样本:
9c906c2f3bfb24883a8784a92515e6337e1767314816d5d9738f9ec182beaf44 35545d891ea9370dfef9a8a2ab1cf95d
有需要样本的留言邮箱即可。
对事件的介绍
Lazarus(APT-C-26)组织是一支来自于朝鲜半岛的APT组织,该组织长期对韩国、美国、中国、印度等国家进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。
近日,Google安全小组披露了一起利用推特等社交媒体针对安全研究人员的社会工程学攻击事件。此次行动该组织使用了社会工程学手法。
对攻击流程的介绍
根据以往的情报显示,Lazarus(APT-C-26)组织擅长针对不同行业制定社会工程学攻击方案,会花较长时间融入相关行业圈,伪造行业机构身份、行业人物角色以骗取行业目标人群的信任实施攻击。此次“破壳行动”针对安全行业的攻击重点细节如下:
1.加入圈子:通过社交媒体,公布安全研究文章吸引大量转发和关注,融入安全圈;
2.建立BLOG技术交流站点,为下一步取得安全研究人员的信任打下基础;
3.取得信任后,频繁与安全研究人员共享研究成果,进一步取得各安全研究人员的信任,使其放下戒备心;
4.发布分享包含恶意代码的工程文件,在安全人员边编译时悄悄执行下载、执行、潜伏等操作。
对攻击的复现
所涉及工程文件为小编自行复现,非此次Lazarus(APT-C-26)组织进行的APT工程文件。
1.我们先对含有恶意代码的工程文件(Lazarus_APT_Tools)进行编译,会调用本地计算器程序;
2.对含有恶意代码的工程文件(Lazarus_exploit)进行编译,通过后台下载恶意文件至本地,并运行恶意文件(恶意文件为小编自己写的bat)。
本文来源于互联网:安全研究员对安全研究员进行的定向攻击的安全研究