安基网 首页 资讯 安全报 查看内容

朝鲜半岛黑客组织Lazarus启用MacOS环境木马,正版软件很重要

2020-7-23 11:10| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 自2018年以来,Lazarus组织在MacOS平台上的攻击活动日渐活跃。该组织曾于2018年8月被曝光制作加密货币交易网站“Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldb ...

自2018年以来,Lazarus组织在MacOS平台上的攻击活动日渐活跃。该组织曾于2018年8月被曝光制作加密货币交易网站“Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广Windows和macOS两种平台下带有后门的交易软件,继续对加密货币生态相关公司发起定向攻击。

近期,通过对相关攻击活动的分析跟进,微步情报局通过威胁狩猎系统捕获到Lazarus组织在MacOS平台上使用的多种类型的后门木马,这种多样性就如同朝鲜半岛地域的代表食物-泡菜的味道(酸、甜、辣、咸)多样。经分析有如下发现:

1. Lazarus组织在MacOS平台上攻击活跃,开发并使用了多种类型的后门木马,且处于在持续更新的过程中。

2. Lazarus组织不仅会跨平台(WindowsLinux)复用已有的后门木马,也使用Objective-C开发适用于MacOS平台的后门木马。

3. Lazarus组织使用的后门木马的加密流量特征,包括JA3特征和证书。

微步在线通过对相关样本、IP和域名的溯源分析,共提取29条相关IOC,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API、安全DNS(OneDNS)等均已支持对此次攻击事件和团伙的检测。

自2019年下半年开始,Lazarus组织在MacOS平台上的攻击活动迅速增加,所使用的的木马基本都是在Windows和Linux平台上的木马的快速移植版。在2020年上半年,Lazarus组织使用了专为MacOS平台开发的木马版本。与此同时,Lazarus组织并未放弃快速移植版木马的使用,而且这些版本的木马还在持续更新。这值得持续关注。

为了保护系统免受此类威胁,用户应仅从官方和合法市场下载应用程序,不打开和安装未知来源的程序。

点击“了解更多”,查看报告详情及事件IOC。

——————

关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6851893720250483214/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部