我们观察到疑似朝鲜背景的APT威胁行为者针对加密货币相关企业发起了新型多阶段恶意软件攻击。我们高度确信,与此前归因于BlueNoroff和RustDoor/ThiefBucket以及RustBucket活动的同一威胁行为者负责此次攻击。我们观察到该活动使用了一种新颖的持久性机制,滥用Zsh配置文件zshenv。此次行动被我们称为‘Hidden Risk’,其通过传播关于加密货币趋势的假新闻的电子邮件来感染目标,通过伪装成PDF文件的恶意应用进行传播。攻击始于带有链接的网络钓鱼邮件,该链接指向伪装成PDF文档的恶意应用,涉及加密货币主题。恶意软件下载并执行第二阶段的后门程序,该后门程序执行远程命令,并通过滥用Zshenv配置文件实现持久性。我们还分析了与‘Hidden Risk’活动相关的网络基础设施,进一步证实了其与朝鲜的BlueNoroff威胁行为者的关联,并提供了新的见解。
原文链接:
http://rpfiles.threatexpert.cn:8100/Lazarus%20Group/reports/2024-11-07-BlueNoroff%E9%92%88%E5%AF%B9%E5%8A%A0%E5%AF%86%E8%B4%A7%E5%B8%81%E8%A1%8C%E4%B8%9A%E5%8F%91%E8%B5%B7%E2%80%9CHidden%20Risk%E2%80%9D%E6%94%BB%E5%87%BB%E6%B4%BB%E5%8A%A8.pdf
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...