Sharpshooter攻击活动与朝鲜APT Lazarus有关

ang010ela 事件 2019年3月8日发布
Favorite收藏

导语:McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。

McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。据分析,是在政府部门的帮助下进行的,结果表明该攻击活动的范围更加广泛、比研究人员最初认为的更加复杂。

与朝鲜的关系

为了隐藏真实位置,攻击者使用了ExpressVPN服务,该服务与来自2个伦敦的IP地址的服务器上的web shell (Notice.php)有关。

但是该IP地址并不是攻击者的真实来源。与朝鲜APT组织Lazarus的关系是通过分析使用的工具、策略和方法得出的结论。

比如,在Sharpshooter之前研究人员就发现Rising Sun与其他Lazarus组织的攻击活动使用相同的策略、技术和步骤。

该木马的三个变种表明Duuzer的进化过程:

研究人员分析发现这些Rising Sun变种都是基于Duuzer后门源码修改得来的。

两个攻击活动中都使用了伪造的招聘网站,而且非常相似,Lazarus使用Rising Sun相似版本的活动可以追溯到2017年。

框架中的恶意组件

研究人员分析来自C2的代码和数据发现,Rising Sun后门的新变种从2016年就开始使用了。用来传播和感染受害者的服务器使用的是Rising Sun的升级版,还含有SSL功能。

Sharpshooter攻击活动的C2主面板

获取了C2的信息可以帮助研究人员了解攻击者的目的和工具。其中就发现了攻击者隐藏在混淆技术之下的新工具。

通过分析网络包也可以发现,但是这种方法更难,需要的时间也更多。

另一个发现是一个位于南非纳米比亚共和国的IP地址。一个可能的解释是攻击者使用该区域作为测试域,另一个可能的解释是攻击者是从该区域发起攻击的,但这可能是一个错误的信息,会将研究人员指向另一个方向。

研究人员最初发现Sharpshooter是在2018年10月,但来自C2框架的服务器日志文件显示攻击活动是从2017年9月开始的,可能位于不同的服务器上。从第一次发现到去年年底,大概2个月的时间内被攻击的企业和组织数超过87个,而且攻击活动仍然在继续进行中。

更多关于该活动的分析参见McAfee研究人员在RSA安全大会上的演讲,参见https://www.rsaconference.com/events/us19/presentations

本文翻译自:https://www.bleepingcomputer.com/news/security/op-sharpshooter-connected-to-north-koreas-lazarus-group/如若转载,请注明原文地址: https://www.4hou.com/other/16543.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论