如何重塑建筑业

该文件伪装成名为SageThumbs Shell Extension的合法工具，该工具直接在Windows资源管理器中显示图像文件。但是，它内部包含一个附加的恶意例程。

创建此文件时，安装程序模块将使用随机数据填充该文件以增加其大小。恶意软件还会将cmd.exe的创建时间复制到新文件中，以使其不那么容易被发现。

出于日志记录和调试的目的，恶意软件将信息存储在作为第二个参数提供的文件中(在本例中是c:programdataoracle~TMP739.TMP)。此日志文件包含有关感染过程的时间戳和信息，研究人员注意到恶意软件操作人员正在使用Windows命令手动检查该文件。这些调试消息的结构与先前用于攻击涉及Lazarus组织的加密货币业务的恶意软件相同。

之后，恶意软件会解密其嵌入式配置。该配置数据具有与上述wAgent恶意软件相似的结构。它还包含具有相同格式的C2地址：
 

当恶意软件第一次执行时，它会生成标识符，使用随机值的哈希值来区分每个受害者。它还生成一个16字节的随机值，并反转其顺序。接下来，恶意软件使用“@”作为分隔符将这个随机的16字节值和哈希值连接起来。即：82UKx3vnjQ791PL2 @ 29312663988969后置参数名称(如下所示)在运行时解密，并在每个C2连接上随机选择。研究人员之前已经看到并向研究人员的威胁情报报告客户报告了一个非常类似的技术，当Lazarus组织使用不断发展的下载恶意软件攻击加密货币业务时，使用了一种非常相似的技术。值得注意的是，Tistory是一个韩国博客发布服务，这意味着恶意软件开发者熟悉韩国的互联网环境。

该恶意软件将生成的标识符编码为base64，并将其发布到C2。最后，代理从C2服务器获取下一个有效载荷，并将其直接加载到内存中。不幸的是，研究人员无法获得它的副本，但是根据分析，所获取的有效载荷是包含后门功能的Windows DLL。使用此内存后门，恶意软件操作员执行了许多shell命令以收集受害者信息：
 

诸如臭名昭著的Lazarus等黑客组织正在窃取新冠疫苗敏感信息，以加快本国疫苗开发的速度。

网络安全公司卡巴斯基(Kaspersky)详细描述了去年9月和10月发生在一家制药公司和一个政府部门的两起事件，这两起事件使用了不同的工具和技术，但在后利用过程中表现出了相似之处，这使得研究人员将这两起攻击与与朝鲜政府有关的黑客联系起来。

这两起事件表明Lazarus组织对与新冠有关的情报非常感兴趣。尽管该组织以其金融活动而闻名，但本次事件也提醒研究人员该组织的其他战略用途。

卡巴斯基没有透露具体的目标对象，但具体攻击时间分别是2020年9月25日和2020年10月27日。

值得注意的是，该制药公司涉及开发新冠疫苗，Lazarus组织部署了“BookCodes”恶意软件，该恶意软件最近在韩国软件公司WIZVERA的供应链攻击中用于安装目标系统上的远程管理工具(RAT)。

攻击中使用的初始访问向量仍然未知，但是据称研究人员确定了一个恶意软件加载器来加载加密的BookCode RAT，该RAT具有收集系统信息，接收远程命令并将执行结果传输到位于韩国的命令和控制(C2)服务器。

在另一个针对卫生部的攻击中，黑客侵入了两台Windows服务器，安装了一种名为“wAgent”的恶意软件，然后用它从攻击者控制的服务器上获取其他恶意载荷。

不过研究人员表示他们无法定位攻击中使用的启动模块，但怀疑它在运行带有特定参数的恶意软件时扮演了“微不足道的角色”，随后wAgent将一个包含后门功能的Windows DLL直接加载到内存中。通过这个内存后门，恶意软件操作人员执行了大量的shell命令来收集受害者信息。

卡巴斯基表示，无论攻击中使用了两个恶意程序模块，10月份使用的wAgent恶意软件都具有与Lazarus组织先前用于加密货币业务攻击的恶意软件相同的感染流程，这是因为恶意软件命名方案和调试消息存在重叠，以及使用安全支持提供程序作为持久性机制。

这是利用冠状病毒大流行进行的一系列攻击中的最新进展，朝鲜黑客的目标是印度、法国、加拿大的制药公司，以及总部位于英国的阿斯利康(AstraZeneca)。

随着新冠疫情的加剧，黑客正在试图以任何可用的方式来加速疫苗的开发。证据表明，诸如Lazarus组织之类的组织正在通过攻击获取与新冠疫苗相关的信息。

疫苗情报窃取过程

（编辑：鞍山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!