卡巴斯基实验室(Kaspersky Labs)最近的一项分析显示,臭名昭著的拉扎罗斯集团(Lazarus Group)继续完善其战略,将旧战术与新恶意软件相融合,以创建先进而隐蔽的攻击链。这一行动被称为 “死亡笔记行动”(DeathNote Campaign)或 “梦想工作行动”(Operation DreamJob),主要利用虚假工作机会渗透到国防、航空航天、加密货币和核领域等行业。

卡巴斯基研究人员指出:“Lazarus 组织一直在利用针对各行业员工的虚假工作机会传播其恶意软件。”在最近一次活动中,Lazarus 使用恶意归档文件伪装成 IT 角色的技能评估,向一家核相关组织的员工发送恶意软件。这些攻击混合使用了木马工具和高级加载器,展示了不断发展的复杂性。

卡巴斯基发现的感染链突出了几个关键组成部分:

木马化实用程序: AmazonVNC.exe 和 UltraVNC Viewer 等工具被修改为执行恶意有效载荷。TightVNC的木马化版本AmazonVNC.exe解密并执行Ranid下载器,以推进攻击链。

复杂的加载器: 攻击者使用恶意 DLL(如 vnclang.dll)对恶意软件(如 MISTPEN、RollMid 和新发现的 LPEClient)进行侧载,从而实现横向移动和进一步的有效载荷交付。

新型模块化恶意软件: CookiePlus 是这次活动中的一个突出表现,它是一个基于插件的下载器,旨在获取和执行其他恶意组件。CookiePlus 是 MISTPEN 的后继者,支持更多的执行选项,其行为与下载程序无异,这使得调查其全部功能具有挑战性。

为了绕过检测,Lazarus 通过压缩 ISO 文件发送恶意软件,这种文件比 ZIP 压缩文件更少受到检查。受害者通过 LinkedIn、Telegram 和 WhatsApp 等平台上的社交工程被诱骗执行这些文件。一旦执行,恶意软件就会利用 XOR 密钥和复杂的解密技术来解压有效载荷。

此外,CookiePlus 还利用 ChaCha20 加密技术进行通信,将其活动伪装成合法活动。“该组织一直将恶意软件伪装成记事本++插件等公共工具,以逃避防御。这种方法使该组织在发动后续攻击时能够持续不被发现。”

“Lazarus 集团转移和进化其工具的能力说明了高级威胁行动者的持久性和适应性。”卡巴斯基总结说:“纵观其历史,Lazarus 集团只使用了少量模块化恶意软件框架,但引入 CookiePlus 等新工具表明他们的武器库正在不断创新。”

文章原文链接:https://www.anquanke.com/post/id/302911