朝鲜APT组织Kimsuky和Lazarus升级攻击武器库
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Gen Threat Labs研究表明,朝鲜黑客组织Kimsuky和Lazarus正在使用新工具进行网络攻击。Kimsuky通过HttpTroy后门进行数据窃取,而Lazarus则升级了BLINDINGCAN RAT,增强了隐蔽性和功能。这些攻击针对全球目标,显示出朝鲜网络间谍能力的持续发展。
🎯
关键要点
- Gen Threat Labs研究发现朝鲜黑客组织Kimsuky和Lazarus正在使用新型工具进行网络攻击。
- Kimsuky组织部署了名为'HttpTroy'的新型隐秘后门,进行数据窃取。
- Lazarus组织升级了其BLINDINGCAN RAT,增强了隐蔽性和功能。
- 这两起攻击活动显示出朝鲜网络间谍能力的持续发展,目标包括韩国和加拿大的受害者。
- Kimsuky的攻击链始于伪装成VPN服务发票的钓鱼邮件,最终导致HttpTroy后门的安装。
- HttpTroy后门赋予攻击者对受感染系统的完全控制权,支持多种功能。
- Lazarus组织的新版本BLINDINGCAN RAT增加了多层加密和扩展的命令支持。
- 新版BLINDINGCAN支持27种独特命令,包括文件窃取、系统枚举和屏幕截图。
- 研究人员确认通信使用AES-128-CBC加密和MD5完整性验证,结合XOR和Base64编码的混淆层。
- Kimsuky和Lazarus继续完善他们的工具,表明与朝鲜有关的攻击者在重新发明他们的武器库。
➡️
