近期,我们360高级威胁研究院监测到APT-C-26(Lazarus)组织发起的新一轮攻击活动。该组织以其高超的网络攻击技巧和隐蔽性而著称,主要针对金融机构和加密货币交易所。此次攻击中,Lazarus组织将IPMsg安装程序武器化,通过植入恶意代码,将其转变为攻击工具。用户执行武器化的IPMsg安装程序后,程序会释放官方版本的IPMsg安装程序5.6.18.0以迷惑用户,同时激活内存中的恶意DLL文件。该恶意DLL文件经过多个阶段执行后,与远程控制服务器(C2)建立连接,下载后门程序并窃取用户敏感信息。我们分析了攻击的整体样本行为和细节,发现攻击者通过发送武器化的IPMsg安装程序,释放恶意DLL文件,并在内存中解密释放多个额外DLL文件,最终形成后门,持续与C2通信,获取并执行后续载荷,进一步实施攻击和窃取敏感信息。攻击中使用的域名cryptocopedia[.]com在Lazarus组织的其他活动中也曾被使用,结合地缘政治目标和武器化官方程序的特征,我们判断此次攻击活动由Lazarus组织发起。
原文链接:
https://mp.weixin.qq.com/s/XuaMRmZSomKFoaX7XrqpYA
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...