圖種再現(xiàn)?Lazarus組織將惡意代碼隱藏在.BMP圖像中
2021年04月21日
最近在一起針對韓國實體的魚叉式網(wǎng)絡釣魚活動中發(fā)現(xiàn)���,與朝鮮有關的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測。
隱藏在.BMP圖像種的惡意代碼可以在受害者的系統(tǒng)上安裝一個遠程訪問木馬(RAT)�����,使攻擊者可以竊取敏感信息��。
來自Malwarebytes的研究人員表示��,此次網(wǎng)絡釣魚活動是由分發(fā)帶有惡意文件的電子郵件開始的�����,并且研究人員于4月13日發(fā)現(xiàn)了該文件����。
此次釣魚郵件所創(chuàng)建的誘騙文件聲稱是韓國某個城市的博覽會的參與申請表��,并提示用戶在首次打開時啟用宏��。
該宏首先調用MsgBoxOKCancel函數(shù),向用戶彈出一個消息框��,聲稱是微軟Office的舊版本�。在后臺,該宏調用一個壓縮為zlib文件的可執(zhí)行HTA文件��,該文件被包含在一個整體的PNG圖像文件中���。
該宏還通過調用WIA_ConvertImage函數(shù)將PNG格式的圖像轉換為BMP格式����。專家指出�����,將PNG文件格式轉換為BMP文件格式會自動解壓從PNG嵌入到BMP的惡意zlib對象����,因為BMP文件格式是未壓縮的圖形文件格式。利用這個技巧�����,攻擊者可以避免檢測到圖像內的嵌入對象�。
之后用戶會觸發(fā)感染鏈的攻擊代碼�,最終投放一個名為 "AppStore.exe "的可執(zhí)行文件����。
然后,該有效載荷繼續(xù)提取附加在自己身上的加密的第二階段有效載荷�����,在運行時進行解碼和解密��,接著與遠程服務器建立通信�,接收額外的命令,并將這些命令的結果傳回服務器��。
此次活動與過去的Lazarus行動有許多相似之處���,例如第二階段的有效載荷使用了與Lazarus相關的BISTROMATH RAT所使用的類似的自定義加密算法�。
Lazarus APT組織背景
Lazarus APT組織至少從2009年就開始活躍�,一般認為該組織與朝鮮有關。其攻擊方式主要是利用惡意軟件����。
該組織參與了眾多網(wǎng)絡間諜活動和破壞活動,擁有豐厚的“戰(zhàn)績”�����。一般認為該組織與大規(guī)模的WannaCry勒索軟件攻擊有關��,此外����,2016年的大量SWIFT攻擊和索尼影業(yè)遭受的黑客攻擊也被認為與該組織有所聯(lián)系。
根據(jù)卡巴斯基2020年發(fā)布的報告��,近兩年����,該組織持續(xù)針對加密貨幣交易所來演變其TTP。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
