北韓駭客組織Lazarus鎖定研究機構盜取情資

資安公司WithSecure發現了由北韓情報局相關駭客組織Lazarus，所發起的APT攻擊行動No Pineapple，該攻擊行動針對公私部門的研究機構，包括醫學與能源研究以及其供應鏈，研究人員認為，駭客攻擊的目標是獲得相關情報。

根據WithSecure釋出的攻擊報告指出，整個攻擊行動從2022年8月開始，一直到2022年11月，而Lazarus駭客是利用Zimbra郵件伺服器的漏洞CVE-2022-27925和CVE-2022-37042，開始整個入侵行動，最終盜走了約100 GB的資料，攻擊者在被中斷之前，並沒有執行任何破壞行動。

由於WithSecure一開始偵測特定的C2 IP位址，因此原本假設此為BianLian勒索軟體攻擊，但是透過分析駭客攻擊的策略、技術和活動，研究人員才將攻擊者與Lazarus連結起來，在收集更多證據後，確認該攻擊為大規模情報收集行動的一部分，而非是單純的勒索軟體攻擊。

研究人員可以將攻擊者關聯到Lazarus，要感謝攻擊者的操作失敗，在研究人員調查第一個被入侵伺服器時，發現其中一個連接來自北韓的IP位址，而這個IP位址在前幾天與後幾天都有出現，研究人員認為這是攻擊者在日常工作開始時的操作故障，會在短暫延遲之後才回到預設的線路，而攻擊者所使用的IP位址為北韓政府所擁有。

另外，透過分析攻擊者的工作模式，研究人員發現攻擊者應該位於UTC+9時區，工作時間為周一到周六，從早上9點到晚上10點，而這是北韓常見的工作模式。研究人員確認了Lazarus的具體攻擊目標，包括醫療保健研究組織，以及能源、國防和醫療保健領域的製造商，還有研究型大學的化工系。

但這次攻擊與過去Lazarus的活動相比，仍有幾項不同之處，像是研究人員就發現，他們所使用的基礎設施，僅仰賴沒有域名的IP位址，還使用新版本的惡意軟體GREASE，該惡意軟體讓攻擊者能夠繞過防火牆，以遠端桌面協定權限創建管理員帳號。

而之所以這次的Lazarus攻擊行動被稱為No Pineapple，是因為駭客所使用的後門程式，當事件資料超過分段位元組大小時，錯誤訊息後面會附加< No Pineapple! >字串。