Lazarus Group利用零日漏洞攻击韩国金融实体

与朝鲜有联系的Lazarus Group被观察到在一年内两次将一个未公开的软件中的漏洞武器化，以破坏韩国的一家金融企业实体。

虽然2022年5月的第一次攻击涉及使用公共机构和大学广泛使用的证书软件的易受攻击版本，但2022年10月的再次渗透涉及利用同一程序中的零日。

网络安全公司AhnLab安全应急响应中心（ASEC）表示，由于“该漏洞尚未得到充分验证，且尚未发布软件补丁”，因此没有提及该软件在通过一种未知的方法获得初始立足点后，敌对团体滥用零日漏洞进行横向移动，不久后，AhnLab V3反恶意软件引擎通过BYOVD攻击被禁用。这里值得注意的是，正如ESET和AhnLab在去年年底的一系列报告中所记录的那样，Lazarus Group最近几个月反复采用了“自带易受攻击驾驶员”（Bring Your Own Vulnerable Driver）技术，即BYOVD。

隐藏其恶意行为的其他步骤包括在删除文件名之前更改文件名，以及使用称为时间戳的反取证技术修改时间戳。该攻击最终为多个后门有效负载（Keys.dat和Settings.vwx）铺平了道路，这些负载旨在连接到远程命令和控制（C2）服务器，检索其他二进制文件并以无文件方式执行它们。一周前，ESET发布了一种名为WinorDLL64的新植入物，该植入物由臭名昭著的威胁行为者通过名为Wslink的恶意软件加载器部署。ASEC表示：“Lazarus小组正在研究各种其他软件的漏洞，并不断改变TTP，改变其禁用安全产品的方式，并采用反取证技术干扰或延迟检测和分析，以渗透韩国机构和公司。”