记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Sharpshooter攻击活动与朝鲜APT Lazarus有关

2019-03-08 12:20

McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。据分析,是在政府部门的帮助下进行的,结果表明该攻击活动的范围更加广泛、比研究人员最初认为的更加复杂。

与朝鲜的关系

为了隐藏真实位置,攻击者使用了ExpressVPN服务,该服务与来自2个伦敦的IP地址的服务器上的web shell (Notice.php)有关。

但是该IP地址并不是攻击者的真实来源。与朝鲜APT组织Lazarus的关系是通过分析使用的工具、策略和方法得出的结论。

比如,在Sharpshooter之前研究人员就发现Rising Sun与其他Lazarus组织的攻击活动使用相同的策略、技术和步骤。

该木马的三个变种表明Duuzer的进化过程:

研究人员分析发现这些Rising Sun变种都是基于Duuzer后门源码修改得来的。

两个攻击活动中都使用了伪造的招聘网站,而且非常相似,Lazarus使用Rising Sun相似版本的活动可以追溯到2017年。

框架中的恶意组件

研究人员分析来自C2的代码和数据发现,Rising Sun后门的新变种从2016年就开始使用了。用来传播和感染受害者的服务器使用的是Rising Sun的升级版,还含有SSL功能。

Sharpshooter攻击活动的C2主面板

获取了C2的信息可以帮助研究人员了解攻击者的目的和工具。其中就发现了攻击者隐藏在混淆技术之下的新工具。

通过分析网络包也可以发现,但是这种方法更难,需要的时间也更多。

另一个发现是一个位于南非纳米比亚共和国的IP地址。一个可能的解释是攻击者使用该区域作为测试域,另一个可能的解释是攻击者是从该区域发起攻击的,但这可能是一个错误的信息,会将研究人员指向另一个方向。

研究人员最初发现Sharpshooter是在2018年10月,但来自C2框架的服务器日志文件显示攻击活动是从2017年9月开始的,可能位于不同的服务器上。从第一次发现到去年年底,大概2个月的时间内被攻击的企业和组织数超过87个,而且攻击活动仍然在继续进行中。

更多关于该活动的分析参见McAfee研究人员在RSA安全大会上的演讲,参见https://www.rsaconference.com/events/us19/presentations

本文翻译自:https://www.bleepingcomputer.com/news/security/op-sharpshooter-connected-to-north-koreas-lazarus-group/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54520.htm
知识来源: https://www.4hou.com/other/16543.html

阅读:56754 | 评论:0 | 标签:事件 Sharpshooter

想收藏或者和大家分享这篇好文章→复制链接地址

“Sharpshooter攻击活动与朝鲜APT Lazarus有关”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词