<
>

2020年新闻稿

2020年1月13日

卡巴斯基研究人员强调AppleJeus加密货币攻击中的Lazarus功能

卡巴斯基’s 全球研究与分析小组(GReAT)发布了有关 苹果公司这是多产威胁参与者拉撒路集团(Lazarus Group)在2018年实施的旨在窃取加密货币的行动。 

现在,新发现表明,从臭名昭著的威胁参与者,更加完善的战术和程序以及将Telegram用作其新的攻击媒介之一以来,他们的行动仍在继续,并采取了更为谨慎的步骤。除数个与加密货币有关的商业实体外,英国,波兰,俄罗斯和中国的受害者在行动中也受到影响。 

拉撒路(Lazarus)是最活跃和最多产的高级持续威胁(APT)参与者之一,他们在开展针对与加密货币相关组织的众多活动方面有经验。 在其最初的2018年AppleJeus行动中,威胁行动者创建了一家伪造的加密货币公司,以提供其操纵的应用程序并利用潜在受害者之间的高度信任。 Lazarus构建了第一个macOS恶意软件,标志着该操作。 用户从第三方网站下载了该应用程序,并通过变相的常规应用程序更新来传递恶意负载。 有效负载使攻击者能够完全控制用户的设备并窃取加密货币。  

卡巴斯基研究人员最近发现,在所谓的“续集”行动中,该组织的攻击策略发生了变化。拉撒路(Lazarus)2019年攻击的攻击媒介模仿了上一年的攻击媒介,但有所改进。这次,Lazarus创建了与虚假的加密货币相关的网站,该网站托管指向虚假的组织Telegram频道的链接,并通过Messenger发送恶意软件。 

在此AppleJeus操作中,攻击包括两个阶段。 用户首先要下载一个应用程序,然后相关的下载器将从远程服务器获取下一个有效负载,从而使攻击者可以使用永久后门完全控制受感染的设备。但是,这次有效载荷被小心地传递,以逃避基于行为的检测解决方案的检测。在针对基于macOS的目标的攻击中,向macOS下载器添加了身份验证机制,并更改了开发框架。另外,这次采用了无文件感染技术。当针对Windows用户时,攻击者避免使用Fallchill恶意软件(该软件在第一批AppleJeus操作中使用),并创建了仅在特定系统上根据一组给定值进行检查后才能在特定系统上运行的恶意软件。这些变化表明,威胁参与者通过创建避免检测的新方法,变得更加勤奋和谨慎,对攻击的方式也持谨慎态度。

Lazarus还对macOS恶意软件进行了重大修改,并扩展了版本数量。与之前的攻击不同,在Lazarus使用开源QtBitcoinTrader构建精心制作的macOS安装程序的过程中,这次威胁行动者开始使用其自制代码构建恶意安装程序。这些发展表明,威胁参与者将继续对macOS恶意软件进行修改,而我们最近的发现是这些变化的中间结果。

Seongsu Park, 卡巴斯基 security 研究er said 苹果公司的续集运作表明,尽管加密货币市场停滞不前,但Lazarus通过使其更加复杂,继续投资于与加密货币相关的攻击。 恶意软件的进一步变化和多样化表明,没有理由相信这些攻击的数量将不会继续增长,而会成为更严重的威胁。”

拉撒路小组 以其复杂的操作而闻名 与朝鲜的联系不仅因其网络间谍和网络破坏攻击而臭名昭著,而且因经济动机攻击而臭名昭著。包括卡巴斯基(Kaspersky)在内的许多研究人员此前曾针对该小组针对银行和其他大型金融企业进行过报道。

 



CSA
E-News