朝鲜APT组织Kimsuky和Lazarus升级攻击武器库
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Gen Threat Labs研究表明,朝鲜黑客组织Kimsuky和Lazarus正在使用新工具进行网络攻击。Kimsuky通过HttpTroy后门进行数据窃取,而Lazarus则升级了BLINDINGCAN RAT,增强了隐蔽性和功能。这些攻击针对全球目标,显示出朝鲜网络间谍能力的持续发展。
🎯
关键要点
- Gen Threat Labs研究发现朝鲜黑客组织Kimsuky和Lazarus正在使用新型工具进行网络攻击。
- Kimsuky组织部署了名为'HttpTroy'的新型隐秘后门,进行数据窃取。
- Lazarus组织升级了其BLINDINGCAN RAT,增强了隐蔽性和功能。
- 这两起攻击活动显示出朝鲜网络间谍能力的持续发展,目标包括韩国和加拿大的受害者。
- Kimsuky的攻击链始于伪装成VPN服务发票的钓鱼邮件,最终导致HttpTroy后门的安装。
- HttpTroy后门赋予攻击者对受感染系统的完全控制权,支持多种功能。
- Lazarus组织的新版本BLINDINGCAN RAT增加了多层加密和扩展的命令支持。
- 新版BLINDINGCAN支持27种独特命令,包括文件窃取、系统枚举和屏幕截图。
- 研究人员确认通信使用AES-128-CBC加密和MD5完整性验证,结合XOR和Base64编码的混淆层。
- Kimsuky和Lazarus继续完善他们的工具,表明与朝鲜有关的攻击者在重新发明他们的武器库。
❓
延伸问答
Kimsuky和Lazarus组织使用了哪些新工具进行网络攻击?
Kimsuky使用了名为'HttpTroy'的新型隐秘后门,而Lazarus升级了其BLINDINGCAN RAT。
Kimsuky的攻击链是如何运作的?
Kimsuky的攻击链始于伪装成VPN服务发票的钓鱼邮件,最终导致HttpTroy后门的安装。
HttpTroy后门具备哪些功能?
HttpTroy后门赋予攻击者对受感染系统的完全控制权,支持文件传输、命令执行、反向shell、屏幕截图捕获等功能。
新版BLINDINGCAN RAT有哪些新特性?
新版BLINDINGCAN RAT增加了多层加密、运行时配置和扩展的命令支持,支持27种独特命令。
Kimsuky和Lazarus的攻击目标主要是哪些国家?
这两个组织的攻击目标包括韩国和加拿大的受害者。
Kimsuky和Lazarus的攻击活动有什么共同点?
两者的攻击活动都显示出隐秘代码和分层混淆的底层模式,表明他们在不断完善工具链。
➡️
