【安全资讯】拉扎鲁斯集团的演变武器库:新恶意软件和感染链揭示

安恒恒脑 2024-12-23 19:04:01 33人浏览

概要:

近期,卡巴斯基实验室对臭名昭著的拉扎鲁斯集团进行了分析,发现该组织不断改进其策略,将旧战术与新恶意软件结合,形成先进而隐秘的攻击链。这一被称为死亡笔记行动的活动,主要通过虚假工作机会渗透国防、航空航天、加密货币和核能等行业。

主要内容:

拉扎鲁斯集团通过虚假工作机会分发恶意软件,针对各行业员工进行攻击。在最新的行动中,该组织使用伪装成IT岗位技能评估的恶意压缩文件,向核相关组织的员工投放恶意软件。这些攻击结合了木马工具和高级加载程序,展现出不断演变的复杂性。

卡巴斯基揭示的感染链包含多个关键组件:木马化工具如AmazonVNC.exe和UltraVNC Viewer被修改以执行恶意载荷。AmazonVNC.exe作为TightVNC的木马版本,解密并执行Ranid Downloader以推进攻击链。攻击者通过恶意DLL(如vnclang.dll)侧载MISTPEN、RollMid和新识别的LPEClient等恶意软件,实现横向移动和进一步的载荷投递。

此次行动中的亮点是CookiePlus,这是一种基于插件的下载器,旨在获取和执行额外的恶意组件。CookiePlus作为MISTPEN的继任者,支持更多执行选项,且其行为类似于下载器,增加了调查其完整能力的难度。为了绕过检测,拉扎鲁斯通过压缩的ISO文件投递恶意软件,这些文件比ZIP档案受到的审查更少。受害者通过社交工程手段被诱骗执行这些文件,一旦执行,恶意软件利用XOR密钥和复杂的解密技术解包载荷。此外,CookiePlus在其通信中利用ChaCha20加密,伪装其活动为合法行为。卡巴斯基总结道,拉扎鲁斯集团持续伪装恶意软件为公共工具,以逃避防御,这一策略使其在发起后续攻击时得以持续隐蔽。
APT 恶意软件 数据泄露 金融 国防 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。