圖片來源: 

wikimedia、pixabay

資安公司WithSecure發現了由北韓情報局相關駭客組織Lazarus,所發起的APT攻擊行動No Pineapple,該攻擊行動針對公私部門的研究機構,包括醫學與能源研究以及其供應鏈,研究人員認為,駭客攻擊的目標是獲得相關情報。

根據WithSecure釋出的攻擊報告指出,整個攻擊行動從2022年8月開始,一直到2022年11月,而Lazarus駭客是利用Zimbra郵件伺服器的漏洞CVE-2022-27925和CVE-2022-37042,開始整個入侵行動,最終盜走了約100 GB的資料,攻擊者在被中斷之前,並沒有執行任何破壞行動。

由於WithSecure一開始偵測特定的C2 IP位址,因此原本假設此為BianLian勒索軟體攻擊,但是透過分析駭客攻擊的策略、技術和活動,研究人員才將攻擊者與Lazarus連結起來,在收集更多證據後,確認該攻擊為大規模情報收集行動的一部分,而非是單純的勒索軟體攻擊。

研究人員可以將攻擊者關聯到Lazarus,要感謝攻擊者的操作失敗,在研究人員調查第一個被入侵伺服器時,發現其中一個連接來自北韓的IP位址,而這個IP位址在前幾天與後幾天都有出現,研究人員認為這是攻擊者在日常工作開始時的操作故障,會在短暫延遲之後才回到預設的線路,而攻擊者所使用的IP位址為北韓政府所擁有。

另外,透過分析攻擊者的工作模式,研究人員發現攻擊者應該位於UTC+9時區,工作時間為周一到周六,從早上9點到晚上10點,而這是北韓常見的工作模式。研究人員確認了Lazarus的具體攻擊目標,包括醫療保健研究組織,以及能源、國防和醫療保健領域的製造商,還有研究型大學的化工系。

但這次攻擊與過去Lazarus的活動相比,仍有幾項不同之處,像是研究人員就發現,他們所使用的基礎設施,僅仰賴沒有域名的IP位址,還使用新版本的惡意軟體GREASE,該惡意軟體讓攻擊者能夠繞過防火牆,以遠端桌面協定權限創建管理員帳號。

而之所以這次的Lazarus攻擊行動被稱為No Pineapple,是因為駭客所使用的後門程式,當事件資料超過分段位元組大小時,錯誤訊息後面會附加< No Pineapple! >字串。

熱門新聞

Advertisement