首页保安黑客团队Lazarus将有效负载隐藏在BMP图像文件中

黑客团队Lazarus将有效负载隐藏在BMP图像文件中

黑客团队 拉撒路 使用新技术掩盖其恶意活动。 安全研究人员发现了一个新的 网络钓鱼活动,那里的Lazarus黑客被滥用 BMP图像文件可感染其受害者。

Lazarus BMP图像文件
黑客团队Lazarus将有效负载隐藏在BMP图像文件中

拉撒路团队是其中一员 国家黑客团队 (APT集团),据说是由其政府资助的 北朝鲜。

它是生产力最高,最先进的APT团队之一,并且已经活跃了十多年。 研究人员发现,拉撒路团队是对世界各地组织进行重大攻击的幕后黑手。 据说是造成多次攻击的原因 WannaCry勒索软件,银行抢劫 并为 攻击加密货币交换服务。

另请参阅: 拉撒路集团(Lazarus Group):通过LinkedIn命中加密货币公司

韩国组织是拉撒路集团的主要目标, 尽管该组织还与对 美国 并且 南非.

在网络钓鱼活动中 的Malwarebytes 在13月XNUMX日, 文件 隶属于拉撒路(Lazarus)的人透露了一种有趣的技术,该技术旨在 在图像文件中隐藏恶意负载。

另请参阅: 黑客团队“ Lazarus”的目标是研究COVID-19疫苗!

网络钓鱼攻击始于 他的文件 微软的Office (양식。.doc)在 朝鲜语。 受害者被称为 启用宏 查看文件的内容,然后 激活恶意负载。

黑客团队Lazarus将有效负载隐藏在BMP图像文件中

该宏会显示一条弹出消息,声称该消息是Office的较旧版本,但会邀请您 可执行的HTA文件,作为PNG图像文件中的压缩zlib文件。

在减压期间, PNG会转换为BMP格式,并且启用后,HTA文件会为 木马 远程访问(RAT),以“ AppStore.exe”的形式存储在目标计算机上。

另请参阅: 100.000个Google网站用于安装SolarMarket RAT

这是黑客使用的一种巧妙方法 绕过安全机制, 可以检测图像中的嵌入式对象研究人员说。 ”原因是因为文档包含具有压缩的zlib恶意对象的PNG图像,并且由于被压缩,因此无法检测到该图像。 然后,黑客使用一种简单的转换机制来解压缩恶意内容。“。

RAT能够连接到命令和控制(C2)服务器,接收命令并安装shellcode。 恶意软件和C2之间的通信经过加密和加密,并且基于 以前连接到Lazarus Bistromath RAT的自定义加密算法.

资料来源:ZDNet

数字要塞
数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻