首先,这是一个在无工程文件样本的情况下进行的复现。

 

已有样本:

      9c906c2f3bfb24883a8784a92515e6337e1767314816d5d9738f9ec182beaf44
35545d891ea9370dfef9a8a2ab1cf95d

 

有需要样本的留言邮箱即可。

 

 

对事件的介绍

 

Lazarus(APT-C-26)组织是一支来自于朝鲜半岛的APT组织,该组织长期对韩国、美国、中国、印度等国家进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。

近日,Google安全小组披露了一起利用推特等社交媒体针对安全研究人员的社会工程学攻击事件。此次行动该组织使用了社会工程学手法。

 

对攻击流程的介绍

 

根据以往的情报显示,Lazarus(APT-C-26)组织擅长针对不同行业制定社会工程学攻击方案,会花较长时间融入相关行业圈,伪造行业机构身份、行业人物角色以骗取行业目标人群的信任实施攻击。此次“破壳行动”针对安全行业的攻击重点细节如下:

 

1.加入圈子通过社交媒体公布安全研究文章吸引大量转发和关注融入安全圈;

2.建立BLOG技术交流站点为下一步取得安全研究人员的信任打下基础;

3.取得信任后频繁与安全研究人员共享研究成果进一步取得各安全研究人员的信任使其放下戒备心;

4.发布分享包含恶意代码的工程文件在安全人员边编译时悄悄执行下载执行潜伏等操作。

 

对攻击的复现

 

所涉及工程文件为小编自行复现非此次Lazarus(APT-C-26)组织进行的APT工程文件

 

1.我们先对含有恶意代码的工程文件Lazarus_APT_Tools进行编译会调用本地计算器程序;

2.对含有恶意代码的工程文件Lazarus_exploit进行编译通过后台下载恶意文件至本地并运行恶意文件恶意文件为小编自己写的bat)。

 

 

 

 

 

安全研究员对安全研究员进行的定向攻击的安全研究

 

本文来源于互联网:安全研究员对安全研究员进行的定向攻击的安全研究