Lazarus的DeathNote集群的演變：從攻擊加密貨幣到攻擊國防部門

卡巴斯基最近調查了 DeathNote，這是屬於臭名昭著的 Lazarus 組織的集群之一。多年以來，DeathNote 發生了巨大的變化，從 2019 年開始，全球加密貨幣相關企業都遭到該威脅的攻擊。到 2022 年底，其發動的針對性攻擊影響了歐洲、拉丁美洲、韓國和非洲的 IT 公司和國防企業。

卡巴斯基的最新報告追蹤了 DeathNote 攻擊目標的轉變，以及他們在過去四年中所使用的工具、技術和程序的發展和完善。

臭名昭著的威脅行為者 Lazarus 長chang期qi以yi來lai一yi直zhi將jiang與yu加jia密mi貨huo幣bi相xiang關guan的de企qi業ye作zuo為wei攻gong擊ji目mu標biao。在zai監jian控kong該gai威wei脅xie行xing為wei者zhe的de活huo動dong時shi，卡ka巴ba斯si基ji注zhu意yi到dao他ta們men在zai一yi個ge案an例li中zhong使shi用yong了le一yi個ge顯xian著zhu更geng改gai的de惡e意yi軟ruan件jian。2019 年 10 月中旬，我們發現了一份上傳至 VirusTotal 的可疑文件。

該gai惡e意yi軟ruan件jian作zuo者zhe使shi用yong了le與yu加jia密mi貨huo幣bi業ye務wu相xiang關guan的de誘you餌er文wen檔dang。其qi中zhong包bao括kuo一yi份fen關guan於yu特te定ding加jia密mi貨huo幣bi購gou買mai的de調tiao查zha問wen卷juan，一yi份fen關guan於yu特te定ding加jia密mi貨huo幣bi的de介jie紹shao，以yi及ji一yi家jia比bi特te幣bi挖wa礦kuang公gong司si的de介jie紹shao。這zhe是shi DeathNote 攻擊活動首次發威，其攻擊目標是位於塞浦路斯、美國、中國台灣和中國香港的從事加密貨幣業務的個人和企業。

DeathNote 集群的時間線

然而，在 2020 年 4 月，卡巴斯基看到 DeathNote 的感染媒介發生了重大轉變。研究顯示，DeathNote 集群被用於攻擊東歐與國防工業有關的汽車和學術組織。

cishi，gaiweixiexingweizhejiangsuoyouyuguofangchengbaoshanghewaijiaoxiangguandegongzuomiaoshuxiangguandeyouerwenjiandouhuandiaole。chucizhiwai，gaiweixiexingweizhehaijinyibuyouhualeqiganranlian，zaiqiwuqihuadewendangzhongshiyongyuanchengmobanzhurujishu，bingshiyongbaohanmumadekaiyuan PDF 查看軟件。這兩種感染方法都會導致相同的惡意軟件感染（DeathNote下載器），它負責上傳受害者的信息。

2021 年 5 月，卡巴斯基發現歐洲一家提供網絡設備和服務器監控解決方案的 IT 公司被 DeathNote 集群所感染。

此外，2021 年 6 月初，這個 Lazarus 的de子zi組zu織zhi開kai始shi利li用yong一yi種zhong新xin的de機ji製zhi感gan染ran位wei於yu韓han國guo的de目mu標biao。引yin起qi研yan究jiu人ren員yuan注zhu意yi的de是shi，該gai惡e意yi軟ruan件jian的de初chu始shi階jie段duan是shi由you合he法fa軟ruan件jian執zhi行xing的de，該gai軟ruan件jian在zai韓han國guo廣guang泛fan用yong於yu安an全quan防fang護hu。

在 2022 年監控 DeathNote 期(qi)間(jian)，卡(ka)巴(ba)斯(si)基(ji)研(yan)究(jiu)人(ren)員(yuan)發(fa)現(xian)該(gai)集(ji)群(qun)對(dui)拉(la)丁(ding)美(mei)洲(zhou)的(de)一(yi)家(jia)國(guo)防(fang)承(cheng)包(bao)商(shang)遭(zao)受(shou)攻(gong)擊(ji)負(fu)有(you)責(ze)任(ren)。最(zui)初(chu)的(de)感(gan)染(ran)媒(mei)介(jie)與(yu)我(wo)們(men)在(zai)其(qi)他(ta)國(guo)防(fang)工(gong)業(ye)目(mu)標(biao)上(shang)看(kan)到(dao)的(de)相(xiang)似(si)，包(bao)括(kuo)使(shi)用(yong)木(mu)馬(ma)化(hua)的(de) PDF 閱讀器和精心製作的 PDF 文件。但是，在這個特殊的案例中，威脅行為者采用了側加載技術來執行最終的有效載荷。

據透露，在 2022 年 7 月首次發現的持續攻擊活動中，Lazarus 組織已成功入侵非洲的一家國防承包商。初始感染時通過 Skype 聊天軟件發送的一個可疑的 PDF 應用程序進行的。當執行該 PDF 閱讀程序時，它在同一目錄中創建了合法文件（CameraSettingsUIHost.exe）和惡意文件（DUI70.dll）。

Seongsu Park

卡巴斯基全球研究與分析團隊(GEeAT)首席安全研究員

“Lazarus 組織是一個臭名昭著且技術高超的威脅行為者。我們對 DeathNote 集群的分析顯示，多年來其所使用的戰術、技術和流程一直在快速演變。在這次攻擊行動中，Lazarus 並不局限於與加密相關的業務，而是走得更遠。它會部署合法軟件和惡意文件來入侵國防企業。隨著 Lazarus 組織繼續完善其攻擊方法，企業和組織必須保持警惕並采取積極措施防禦其惡意活動。”

想要了解更多有關 Lazarus 的 DeathNote 集群及其攻擊行動的不同階段和 TTP 詳情：

請點擊此處

為了避免成為已知或未知威脅行為者發動的針對性攻擊的受害者，卡巴斯基研究人員建議實施以下措施：

對您的網絡進行網絡安全審計，並對在周邊或網絡內部發現的任何薄弱之處進行補救。

為您的員工提供基礎的網絡安全衛生知識培訓，因為很多針對性攻擊都是從網絡釣魚或其他社交工程手段開始的。

教育您的員工僅從受信任的來源和官方應用商店下載軟件和移動應用。

使用 EDR 產品，並啟用對高級威脅的事件檢測和響應功能。卡巴斯基管理檢測和響應等服務提供了對於針對性攻擊的威脅追蹤功能。

使用一款能夠通過檢測和攔截賬戶盜竊、未認證交易以及洗錢行為來保護加密貨幣交易安全的反欺詐解決方案。

END

文章分類