北韓駭客組織Lazarus相準美歐求職工程師發動網釣攻擊

AT&T Alien Labs近日揭露，他們發現北韓駭客組織Lazarus（微軟稱之為Zinc）自今年春天開始，鎖定美國與歐洲的求職工程師發動攻擊，顯示Lazarus的攻擊對象已從資安工程師擴大到一般工程師。

AT&T Alien Labs為AT&T旗下的資安團隊，他們發現Lazarus自今年5月起，就開始假冒為新的國防承包商或是Airbus、General Motors（GM）與Rheinmetall等工程公司，發送夾帶惡意文件的招聘郵件，最早的替身為Rheinmetall。

Rheinmetall是德國的國防與裝甲車製造商，Lazarus寄出了夾帶巨集病毒的Windows文件，該巨集是個64位元的編碼文件，可在執行的時候解壓縮，巨集內有些檔案一直到解壓縮才合併，以用來躲避偵測，此外，它還複製且更名了合法的微軟執行檔Certutil.exe，以用來躲避可追蹤來源的端點偵測系統，在成功進駐受害者系統之後，再與Lazarus的命令暨控制伺服器連線。

image: GRUzzly Bear at twitter

針對Rheinmetall求職者發動攻擊的幾周後，Lazarus駭客先把目標轉向GM，6月再加入Airbus。除了所仿冒的企業不同之外，Lazarus駭客的手法與技術是一致的。

先前Google與微軟都曾揭露Lazarus正鎖定資安研究人員展開攻擊，根據微軟的分析，當時駭客是透過瀏覽器的安全漏洞，誘導資安研究人員造訪惡意網站，再於受害者系統上植入惡意程式。

而根據AT&T Alien Labs的追蹤，Lazarus也擅長利用微軟Office文件下載遠端範本、Office巨集或是先危害第三方基礎設施等途徑展開攻擊，亦警告Lazarus有可能透過類似的技術，來入侵政府組織的工程專家，提醒各界小心。