北韓APT駭客組織Lazarus近期的動作頻頻,他們不只鎖定資安研究人員下手,也暗中埋伏在南非貨運公司竊密,或者是對於提供加密貨幣付款的電商網站發動側錄攻擊,洗劫受害者錢包。而最近,該組織針對南韓使用者出手,發動木馬程式攻擊來竊密,但和過往有所不同的是,為了回避資安系統的偵測,他們將惡意程式碼藏在BMP圖片檔案裡偷渡。

資安業者Malwarebytes於4月19日,揭露Lazarus對於南韓使用者的網路釣魚攻擊。研究人員在4月13日看到該駭客組織出手,以南韓某個城市舉辦的博覽會申請表單的名義,寄送帶有惡意巨集的Word文件。研究人員發現,該文件檔案製作的時間是3月31日,因此他們研判這就是整起攻擊行動的開始時間點。

一旦使用者將附件文件開啟,該文件會要求必須啟用巨集才能檢視內容,使用者依照指示打開上述功能後,就會出現另一個訊息對話框,宣稱Office軟體版本較舊的訊息。但實際上,此時這個巨集已經在背景執行一個被壓縮為ZLIB檔案的HTA檔案,而這個檔案其實來自於一張PNG圖片檔案image003.png。

Malwarebytes進一步說明,上述文件的巨集會將PNG檔案image003.png,轉換成BMP檔案image003.bmp,並在轉檔的過程中自動解壓縮內嵌的惡意ZLIB物件,而透過這樣在圖檔內嵌壓縮物件的做法,靜態偵測的資安防護系統便無法分析是否有害。

而前述被執行的HTA檔案,會釋出一個木馬程式的載入器AppStore.exe,並將這個第2階段的惡意酬載於記憶體內執行,來向C2伺服器通訊,進而監控受害電腦。但至於此起攻擊有多少人受害?Malwarebytes並未進一步說明。

熱門新聞

Advertisement