瑞星捕获黑客组织Lazarus针对军工行业最新攻击行动
近日,瑞星威胁情报中心捕获到一起专门针对军工领域从业人员发起的APT攻击事件,通过分析发现此次事件的主谋为Lazarus组织,该组织通过伪造国际知名军工企业洛克希德·马丁公司的招聘文件为诱饵,诱骗军工领域相关人员点击并执行带有恶意程序的文件,从而达到窃取机密信息、远程控制的目的。
图:攻击流程
据悉,Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为APT-C-26、T-APT-15等,是现今最活跃的威胁组织之一。该组织疑似来自朝鲜,具有国家背景。其除了擅长信息盗取、间谍活动外,还会蓄意破坏用户主机,以牟取经济利益,攻击的国家包括中国、德国、澳大利亚和日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
瑞星安全专家介绍,在此次攻击事件中,Lazarus组织通过伪造的国际知名军工企业洛克希德·马丁公司的高级职务招聘文件作为诱饵,向军工领域从业人员投放名为“LMCO_Senior Systems Engineer_BR09.doc ”的文档,以此诱骗目标用户点击查看。而该文档内容则显示为乱码,其目的就是为了诱导用户点击“启用内容”,一旦用户点击启动了这个宏代码,后台就会释放并执行内嵌于文档中的恶意程序,开启攻击行为。由于该文档极具诱惑性和隐蔽性,因此普通用户难以防范,极易受骗。
图:诱饵文档
麦青儿 最后编辑于 2022-04-27 17:46:32
