美国国防承包商成为朝鲜 APT 组织 Lazarus 最新攻击目标

据外媒 8 月 14 日报道，网络安全公司 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 瞄准美国国防承包商展开新一轮网络钓鱼攻击活动。

Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。

研究人员在分析恶意代码、诱导文件与基础设施后发现，APT 组织 Lazarus 利用内含恶意 Microsoft Office 文档的钓鱼邮件传播宏病毒。值得注意的是，该恶意邮件以美国国防承包商招聘雇员为主题诱导用户点击下载，文件内容伪装成合法公司网站上的工作职能与内部政策的英文描述。

Lazarus 在此次攻击活动中采用的黑客工具策略与以往相比大同小异，其中在 XOR 密钥中使用宏解码植入有效载荷以及在有效负载中将宏病毒输入磁盘的功能均具有重叠部分，这意味着该组织持续使用同一黑客工具展开攻击活动。此外，相关诱导文件、有效负载、命令与控制（C&C）服务器之间也存在许多联系。对此，研究人员推测 Lazarus 正忙于全球业务扩张。

原作者：Pierluigi Paganini，译者：青楚

from hackernews.cc.thanks for it.