Un atac de tip spear-phishing operat de un jucător de amenințare nord-coreean care își vizează omologul din sud a fost găsit ascunzându-și codul rău intenționat într-un fișier de imagine bitmap (.BMP) pentru a-l sparge.un troian de acces la distanță (RAT) capabil să fure informații sensibile.

Atribuind atacul Grupului Lazarus pe baza asemănărilor cu tactici anterioare adoptate de adversar, cercetătorii de la Malwarebytes au declarat că campania de phishing a început prin distribuirea e-mailurilor legate de un document rău intenționat pe care l-a identificat pe 13 aprilie.

auditor de parole

„Jucătorul a folosit o metodă înțeleaptă pentru a ocoli mecanismele de securitate în care și-a inserat fișierul HTA rău intenționat ca fișier zlib comprimat într-un fișier PNG care a fost apoi decomprimat în timpul timpului de rulare prin convertirea acestuia în format BMP”, au spus cercetătorii Malwarebytes. .

„Sarcina scăzută a fost un încărcător care a decodat și decodat încărcarea celei de-a doua etape în memorie. A doua sarcină are capacitatea de a primi și executa comenzi / shellcode, precum și de a efectua filtrarea și comunicațiile către un server.

Creat la 31 martie 2021, documentul de atracție (în coreeană) susține că este un formular de cerere pentru participarea la un târg într-unul dintre orașele din Coreea de Sud și încurajează utilizatorii să permită macrocomenzile atunci când îl deschid pentru prima dată, doar pentru a efectua atacul. cod care declanșează lanțul de infecție și, în cele din urmă, elimină un executabil numit „AppStore.exe”.

auditor de parole

Încărcarea continuă apoi să extragă o încărcare autocriptată în a doua etapă care este decodificată și decriptată în timpul rulării, urmată de stabilirea comunicațiilor cu un server la distanță pentru a primi comenzi suplimentare și a transmite rezultatele acelor comenzi înapoi către server.

„Actorul de amenințare Lazarus este unul dintre cei mai activi și sofisticați actori de amenințare din Coreea de Nord care vizează multe țări, inclusiv Coreea de Sud, Statele Unite și Statele Unite. – Japonia în ultimii ani”, au spus cercetătorii. „Se știe că Lazarus folosește noi tehnici și seturi de instrumente personalizate în operațiunile sale pentru a spori eficacitatea atacurilor sale”.

Ați găsit acest articol interesant? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.