网络渗透测试

卡巴斯基近日发布公告，称 Lazarus黑客组织正在改变目标、战术，进行一项名为“死亡笔记”的攻击计划，目标直指国防工业。

“死亡笔记”攻击时间线

过去Lazarus黑客组织多针对加密货币领域持续攻击，但近几年它也将目标对准了东欧和世界其他地区的汽车、学术和国防部门，这是一个“重要”的转变。

Lazarus 长期以来一直以加密货币相关业务为目标。在监控攻击者的活动时，安全专家注意到在一个特定案例中，该黑客组织使用了经过重大修改的恶意软件。

2019 年 10 月中旬，安全专家发现了一份可疑文件。经进一步调查，发现该武器化文档背后的攻击者自 2018 年 10 月以来一直在使用类似的含有特定加密货币，以及对比特币挖矿公司介绍的恶意 Word 文档。

在跟踪此活动时，安全专家发现该组织的攻击目标发生了重大变化——DeathNote 被用于针对东欧的汽车和学术部门，这两个部门都与国防工业关系紧密。攻击者会将所有诱饵文件转换为与国防承包商和外交部门相关的职位描述。

此外，攻击者还改进了其感染链，在其武器化文档中使用远程模板注入技术，并利用木马化的开源 PDF 查看器软件。

这两种感染方法都会产生相同的恶意软件（DeathNote 下载程序），该恶意软件负责上传受害者的信息并根据 C2 的判断检索下一阶段的有效负载。最后，在内存中执行COPPERHEDGE变体。

2021 年 5 月，欧洲一家提供监控网络设备和服务器解决方案的 IT 公司被同样的攻击者入侵。据信，Lazarus 集团对该公司广泛使用的软件或其供应链感兴趣。

2021 年 6 月上旬，Lazarus 组织开始利用一种新的感染机制来针对韩国的目标。引起我们注意的一件事是，恶意软件的初始阶段是由在韩国广泛使用的合法安全软件执行的。

大约在同一时间，拉丁美洲的一家国防承包商被同一个后门入侵。最初的感染媒介与其他国防工业目标中看到的类似，涉及使用带有特制 PDF 文件的木马化 PDF 阅读器。

2022 年 7 月，Lazarus 组织成功攻破了非洲的一家国防承包商。

最初的感染是一个可疑的 PDF 应用程序，它是通过 Skype 信使发送的。执行 PDF 阅读器后，它在同一目录中创建了合法文件 (CameraSettingsUIHost.exe) 和恶意文件 (DUI70.dll)。

这种攻击严重依赖于在前一个案例中观察到的相同 DLL 侧加载技术。最初由 PDF 阅读器植入和执行的有效负载负责收集和报告受害者的信息，以及从名为 LPEClient 的远程服务器检索额外的有效负载。Lazarus 组织在各种活动中多次使用此恶意软件。

他们还利用相同的 DLL 侧面加载技术植入能够进行后门操作的其他恶意软件。为了横向跨系统移动，演员使用了一种有趣的技术，称为服务移动。

在调查此活动期间，安全专家对 Lazarus 组织的后开发策略有了广泛的了解。

初次感染后，操作员执行大量 Windows 命令以收集基本系统信息并尝试查找有价值的主机，例如 Active Directory 服务器。

在横向移动之前，Lazarus 小组使用众所周知的方法获取了 Windows 凭据，并采用了公共技术，例如 ServiceMove。

当该组织完成任务并开始窃取数据时，他们主要使用 WinRAR 实用程序压缩文件并通过 C2 通信通道传输。