意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 起底国家级APT组织：Lazarus Group

起底国家级APT组织：Lazarus Group

时间：2021-09-10 作者：虎符智库

分享到：

起底国家级APT组织：Lazarus Group

本文2751字阅读约需8钟

国家级APT（AdvancedPersistentThreat，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!旗下的高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。。

虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，开设“起底国家级APT组织”栏目，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。。

01

LazarusGroup

LazarusGroup又名HIDDENCOBRA、Zinc、APT-C-26、GuardiansofPeace等称呼，，，，，是东亚地区某国最活跃的APT组织之一。。。。。。

起底国家级APT组织：Lazarus Group

其攻击目的主要以窃取资金为主，，，，，堪称全球金融机构的最大威胁。。。。。。

配景

LazarusGroup又名HIDDENCOBRA（美国情报界命名）、Zinc、APT-C-26、GuardiansofPeace等称呼，，，，，是东亚地区某国最活跃的APT组织之一，，，，，获得该国情报部分的鼎力大举支持。。。。。。

自2009年以来，，，，，被归因于该组织的攻击事务数目迅速增添。。。。。。特殊在2017年后，，，，，LazarusGroup加大了攻击行动力度，，，，，组织了多起影响重大的攻击事务，，，，，例如对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络垂纶行动等。。。。。。

Lazarus攻击目的主要以窃取资金为主，，，，，针对银行、比特币生意所等金融机构及小我私家实验定向攻击，，，，，堪称全球金融机构的最大威胁。。。。。。其次，，，，，Lazarus还针对航空航天、工程、手艺、政府、媒体、等机构及企业举行渗透，，，，，抵达窃取主要资料及破损勒索的目的。。。。。。

攻击特点手段、工具

Lazarus早期多使用僵尸网络对目的举行DDos攻击；；；；；；；中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法，，，，，还针对差别职员接纳定向社会工程学攻击。。。。。。

Lazarus组织的攻击主要有以下特点：

攻击周期普遍较长，，，，，通常举行较长时间潜在，，，，，并换差别要领诱使目的被入侵。。。。。。

投递的诱饵文件具有极强的疑惑性和诱惑性，，，，，导致目的无法甄别。。。。。。

攻击历程会使用系统破损或勒索应用滋扰事务的剖析。。。。。。

使用SMB协议误差或相关蠕虫工具实现横向移动和载荷投放。。。。。。

每次攻击使用工具集的源代码都会修改，，，，，并且网安公司披露后也会实时修改源代码。。。。。。

（一）攻击手段

1.鱼叉攻击

通常以邮件夹带恶意文档作为诱饵，，，，，常见文件名堂为DOCX，，，，，后期增添了BMP名堂。。。。。。入侵方法主要使用恶意宏与Office常见误差、0day误差、植入RAT的手法。。。。。。

2.水坑攻击

Lazarus通常针对贫穷的或欠蓬勃地区的小规模银行金融机构使用水坑攻击，，，，，这样就可以在短时间内大规模偷取资金。。。。。。

2017年，，，，，Lazarus对波兰金融羁系机构发动水坑攻击，，，，，在网站官方网站植入恶意的JavaScript误差，，，，，导致波兰多家银行被植入恶意程式。。。。。。此次攻击熏染了31个国家的104个组织，，，，，大大都目的是位于波兰、智利、美国、墨西哥和巴西的金融机构。。。。。。

3.社工攻击

Lazarus善于将社工手艺运用到攻击周期中，，，，，无论是投递的诱饵照旧身份伪装，，，，，都令受害者无法甄别，，，，，从而掉入它的陷阱中。。。。。。

2020年时代，，，，，Lazarus在领英网站伪装招聘加密钱币事情职员并发送恶意文档，，，，，旨在获取凭证从而偷取目的加密钱币。。。。。。

2021年，，，，，LazarusGourp以网络清静职员身份潜在在Twitter中，，，，，伺机发送嵌有恶意代码的工程文件攻击偕行职员。。。。。。从这些案例可以看出，，，，，Lazarus针对的目的越来越明确，，，，，使用手法也越来越无邪直接。。。。。。

（二）攻击使用工具及手艺特征

Lazarus使用的网络武器中包括大宗定制工具，，，，，并且使用代码有许多相似之处。。。。。�？？？？？？Ｒ欢ǖ厮�，，，，，这些软件来自相同的开发职员，，，，，可以说明Lazarus背后有稳固的大型开发团队。。。。。。

Lazarus拥有的攻击能力和工具包括DDoSbotnets、keyloggers、RATs、wipermalware，，，，，使用的恶意代码包括Destover、Duuzer和Hangman等。。。。。。

通太过析攻击案例可以看出Lazarus攻击的手艺特征：

1.善于使用多种加密算法，，，，，包括RC4，，，，，AES，，，，，Spritz等标准算法，，，，，也使用XOR及自界说字符变换算法。。。。。。

2.主要使用虚伪结构的TLS协议，，，，，通过在SNIrecord中写入白域名来BypassIDS，，，，，也使用IRC、HTTP协议。。。。。。

3.通过破损MBR、分区表或者向扇区写入垃圾数据从而破损系统。。。。。。

4.其工具包许多组件都包括自删除剧本

5.TCP后门支持数十个下令

着名攻击事务

（一）特洛伊和漆黑首尔行动

2009年至2012年，，，，，LazarusGroup针对韩国武装步队和政府睁开恒久网络特工行动，，，，，此运动后被命名为“特洛伊行动”【2】。。。。。。2013年，，，，，LazarusGroup对韩国金融行业开展第二次攻击，，，，，后被称为“漆黑首尔行动”【3】。。。。。。这两次运动的披露使得LazarusGroup首次成为公众关注的焦点。。。。。。这些运动使用的恶意软类似于Win32/Spy.Keydoor或者Win64/Spy.Keydoor.。。。。。。

（二）索尼公司攻击事务

2014，，，，，索尼影视娱乐公司宣布上映《刺杀金某某》影戏，，，，，引起该国强烈不满。。。。。。随后，，，，，LazarusGroup入侵索尼，，，，，举行了抨击式的破损，，，，，许多内部文件和文件被窃取、泄露或删除【4】。。。。。。随后的两年，，，，，多家清静公司加入视察，，，，，最终通过Lazarus使用过的自删除文件、TCP后门中的名堂字符串、动态API加载例程、混淆函数名和使用虚伪TLS通讯等一系列证据，，，，，将此前许多起攻击事务与索尼攻击事务一起归因至Lazarus。。。。。。

（三）SWIFT系统偷取美金

2016年，，，，，LazarusGroup通过Alreay攻击组件，，，，，改动SWIFT软件，，，，，使得其能够操作银行账号恣意举行转账，，，，，窃取孟加拉央行8100万美元【5】。。。。。。此次攻击使用的自扫除文件与攻击索尼公司的文件相似，，，，，因此归因于Lazarus。。。。。。别的，，，，，这次攻击的流程与早年间越南、厄瓜多尔等多国银行被盗事务攻击流程相似，，，，，也同样归因于Lazarus。。。。。。

（四）Wannacry席卷全球

2017年5月，，，，，勒索病毒“WannaCry”熏染事务爆发，，，，，全球规模近百个国家遭到大规模网络攻击【6】，，，，，Lazarus使用NSA泄露“永恒之蓝”误差散播勒索病毒“WannaCry”，，，，，导致目的电脑中大宗文件被加密，，，，，并被要求支付比特币以解密文件。。。。。。谷歌团队在WannaCry代码中发明了来自Lazarus集团黑客工具的相似性，，，，，因此归因Lazarus。。。。。。2018年至2020年时代，，，，，美国司法部起诉3名Lazarus成员。。。。。。

（五）Lazarus入侵印度核电系统

2019年9月，，，，，Lazarus乐成入侵印度核电系统，，，，，由此印度紧迫关闭了一座核电站【7】。。。。。。此次攻击主要针对印度原子能治理委员会成员使用鱼叉式攻击，，，，，冒充印度核能组织发送诱饵电子邮件，，，，，将带著名为“Dtrack”的恶意软件的链接附在邮件中，，，，，一旦点击链接会将恶意软件下载到盘算机上。。。。。。此次攻击使用的恶意软件“DTrack”与“漆黑首尔”有诸多相似之处，，，，，实现功效的方法与代码编写气概均相同，，，，，归因此事务出自Lazarus之手。。。。。。

（六）针对误差研究职员发动定向攻击

2021年1月，，，，，谷歌清静团队发明Lazarus恒久潜在在Twitter、LinkedIn、Telegram等社交媒体，，，，，使用虚伪身份伪装成活跃的业内误差研究专家，，，，，博取业内信托从而对其他误差研究职员发动0day攻击【8】。。。。。。以后可以看出Lazarus现实上是想窃取高价值的0Day误差信息，，，，，从而反应出其开发网络武器的职员的可能已经“黔驴之技”。。。。。。

总结

Lazarus攻击主要目的以窃取资金和实现政治目的为起点，，，，，无论是在网络武器方面和攻击手段方面都能看出该国网军的实力。。。。。。

随着国际对Lazarus的手段越来越明晰，，，，，其攻击的难度也会逐渐加大，，，，，未来Lazarus会恒久觊0day误差等情报资料，，，，，一直扩充其军器库，，，，，从而提升武器储备能力。。。。。。

注解

https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack

https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war

https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf

https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCryRansomware.pdf

https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/

https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

关于作者

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，@RedDrip7），，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。。阻止现在，，，，，一连跟踪剖析的主要APT团伙凌驾46个，，，，，自力发明APT组织13个，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。。

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】