ESET 研究人员发现了针对西班牙一家航空航天公司的 Lazarus 攻击,该组织在该公司部署了多种工具,其中最引人注目的是一个未公开记录的后门,我们将其命名为 LightlessCan。Lazarus 运营商去年在一次成功的鱼叉式网络钓鱼活动后,伪装成 Meta(Facebook、Instagram 和 WhatsApp 背后的公司)的招聘人员,获得了对该公司网络的初步访问权限。
假冒招聘人员通过 LinkedIn Messaging(LinkedIn 专业社交网络平台中的一项功能)联系受害者,并发送了招聘流程所需的两个编码挑战,受害者在公司设备上下载并执行了这些挑战。第一个挑战是一个非常基本的项目,显示文本“Hello,World!”,第二个挑战打印斐波那契数列——一系列数字,其中每个数字都是前两个数字的总和。由于与受影响的航空航天公司合作,ESET Research 能够重建初始访问步骤并分析 Lazarus 使用的工具集。
在这篇博文中,我们描述了 Lazarus 攻击期间的渗透方法和部署的工具。我们还将在2023 年 10 月 4 日的病毒公告会议上介绍有关此次攻击的一些发现。
博文要点
一名假招聘人员通过 LinkedIn 联系了目标公司的员工,并诱骗他们打开一个恶意可执行文件,该可执行文件呈现为编码挑战或测验。
我们确定了四种不同的执行链,通过 DLL 侧面加载提供三种类型的有效负载。最值得注意的有效负载是 LightlessCan 后门,它采用的技术阻碍实时安全监控软件的检测和网络安全专业人员的分析;与其前身 BlindingCan(旗舰级 HTTP(S) Lazarus RAT)相比,这是一个重大转变。
我们对 Lazarus 的这项活动充满信心,尤其是其与 DreamJob 行动相关的活动。
这次攻击的最终目标是网络间谍活动。
Lazarus 向受害者的系统发送了各种有效负载;最值得注意的是一个未公开记录的复杂远程访问木马 (RAT),我们将其命名为 LightlessCan,与它的前身 BlindingCan 相比,它代表了显着的进步。LightlessCan 模仿各种本机 Windows 命令的功能,从而能够在 RAT 本身内谨慎执行,而不是嘈杂的控制台执行。这种战略转变增强了隐蔽性,使检测和分析攻击者的活动变得更具挑战性。
另一种用于最小化暴露的机制是使用执行护栏;Lazarus 确保有效负载只能在目标受害者的计算机上解密。执行护栏是一组保护协议和机制,用于在部署和执行过程中保护有效负载的完整性和机密性,有效防止在非预期机器(例如安全研究人员的机器)上进行未经授权的解密。我们在执行链3:LightlessCan(复杂版本) 部分描述了该机制的实现。
归因于Lazarus组织
Lazarus 组织(也称为 HIDDEN COBRA)是一个与朝鲜有联系的网络间谍组织,至少自 2009 年以来一直活跃。该组织对一些备受瞩目的事件负有责任,例如索尼影视娱乐公司 (Sony Pictures Entertainment) 黑客事件和数千万美元的损失2016 年的美元网络盗窃案、 2017 年的WannaCryptor(又名 WannaCry)爆发、3CX 和 X_TRADER供应链攻击以及针对韩国的长期破坏性攻击至少自 2011 年起,Lazarus 活动的多样性、数量和古怪性定义了该组织,并且该组织执行网络犯罪活动的所有三大支柱:网络间谍活动、网络破坏活动和追求经济利益。
对于与朝鲜结盟的高级持续威胁(APT)组织来说,航空航天公司并不是一个不寻常的目标。该国多次进行核试验并发射洲际弹道导弹,违反了联合国安理会决议。联合国监测朝鲜的核活动,以防止核武器或大规模杀伤性武器的进一步发展和扩散,并发布半年报告跟踪此类活动。根据这些报告,随着洲际弹道导弹在地球大气层以外的太空中度过中途阶段,与朝鲜结盟的 APT 组织攻击航空航天公司,试图获取敏感技术和航空航天专业知识。这些报告还声称,从网络攻击中获得的资金占朝鲜导弹开发成本的一部分。
我们高度自信地将西班牙的袭击事件归因于 Lazarus 组织,特别是“梦想工作行动”。“DreamJob 行动”的名称是 ClearSky 在 2020 年 8 月发布的一篇博文中创造的,描述了一场针对国防和航空航天公司的 Lazarus 活动,其目的是进行网络间谍活动。从那时起,我们就宽松地使用这个术语来表示各种 Lazarus 行动,这些行动利用了工作机会的诱惑,但没有部署与其他活动所涉及的工具明显相似的工具,例如“感知行动”。例如,该活动涉及使用 2 个 TOY GUYS 证书签名的工具,以及亚马逊主题诱饵的案例2022 年 9 月在荷兰和比利时出版。
我们的归因基于以下因素,这些因素主要与前面提到的亚马逊主题活动有关:
1、 恶意软件(入侵集):
最初的访问权限是通过 LinkedIn 进行联系,然后说服目标执行伪装成测试的恶意软件,以便在招聘过程中取得成功。这是一种众所周知的拉撒路策略,至少自梦想工作行动以来就一直在使用。
我们观察到了去年在荷兰案例中发现的有效负载的新变体,例如中间加载程序和与 Lazarus 相关的BlindingCan 后门。
这次 Lazarus 活动的工具中利用了多种类型的强加密——AES-128 和带有 256 位密钥的 RC6——这些工具也被用在了以亚马逊为主题的活动中。
2.、基础设施:
对于第一级 C&C 服务器(在本博文末尾的网络部分列出),攻击者不会设置自己的服务器,而是会破坏现有服务器,通常是那些安全性较差且托管站点缺乏维护的服务器。这是Lazarus 典型的、但又缺乏自信的行为。
3、Cui bono:
窃取航空航天公司的专有技术符合 Lazarus 所体现的长期目标。
初始访问
该组织通过 LinkedIn Messaging 针对多名公司员工进行攻击。攻击者伪装成Meta招聘人员,利用工作机会诱惑来吸引目标的注意力和信任;我们在与西班牙航空航天公司合作期间获得的这次对话的屏幕截图如图 1 所示。
图 1. 攻击者冒充 Meta 招聘人员进行初次联系
在 Lazarus 攻击开始时,不知情的目标通常会被说服鲁莽地自我妥协他们的系统。为此,攻击者采用不同的策略;例如,目标被引诱执行攻击者提供的(和木马化的)PDF 查看器来查看工作机会的完整内容。或者,鼓励目标连接木马 SSL/VPN 客户端,并提供 IP 地址和登录详细信息。2022 年 9 月发布的Microsoft 博文中描述了这两种情况。该案例的叙述是诈骗者要求证明受害者对 C++ 编程语言的熟练程度。
为此目的提供了两个恶意可执行文件Quiz1.exe和Quiz2.exe ,并通过第三方云存储平台上托管的Quiz1.iso和Quiz2.iso映像进行传递。这两个可执行文件都是非常简单的要求输入的命令行应用程序。
第一个是 Hello World 项目,这是一个非常基本的程序,通常仅由一行代码组成,显示文本“Hello, World!” 执行时。第二个打印斐波那契数列,直到小于作为输入输入的数字的最大元素。斐波那契数列是一系列数字,其中每个数字都是前两个数字的总和,通常以 0 和 1 开头;然而,在此恶意挑战中,序列以 1 和 2 开头。图 2 显示了斐波那契序列挑战的示例输出。打印输出后,两个可执行文件都会触发恶意操作,将 ISO 映像中的附加有效负载安装到目标系统上。目标开发人员的任务是理解程序的逻辑并用 C++ 编程语言重写它。
图 2. 诱饵程序 Quiz2.exe 的输出
图 3 描绘了导致初始泄露的事件链。交付到目标系统的第一个有效负载是 HTTP(S) 下载程序,我们将其命名为 NickelLoader。该工具允许攻击者将任何所需的程序部署到受害者计算机的内存中。
图 3. 完成初始访问的事件链
入侵后工具
一旦 NickelLoader 在目标系统上运行,攻击者就会使用它来传递两种类型的 RAT。其中一个 RAT 已知是 Lazarus 工具包的一部分,特别是 BlindingCan 后门的变体,功能有限但命令处理逻辑相同。为了区分它,我们在变体名称前面加上前缀 mini- 。此外,攻击者还引入了一种以前未公开记录的 RAT,我们将其命名为 LightlessCan。
RAT 被部署为具有不同复杂程度的阶段链的最后一步,并且前面是辅助可执行文件,例如释放器和加载器。如果可执行文件包含嵌入的有效负载,我们将其表示为释放器,即使它没有释放到文件系统上,而是直接加载到内存中并执行。没有加密的嵌入数据数组,但从文件系统加载有效负载的恶意软件,我们将其表示为加载程序。
除了最初的与测验相关的诱饵之外,表 1 还总结了传递到受害者系统的可执行文件 (EXE) 和动态链接库 (DLL)。第三列中的所有恶意软件样本都是木马化的开源应用程序(有关底层项目,请参阅第四列),具有合法的可执行文件侧面加载恶意 DLL。例如,恶意mscoree.dll是合法NppyPluginDll的木马版本;DLL 包含嵌入式 NickelLoader 并由合法的PresenterHost.exe加载,两者均位于C:ProgramShared目录中。
表1 . 攻击涉及的二进制文件摘要
LightlessCan – 新后门
此活动中使用的最有趣的有效负载是 LightlessCan,它是该组织旗舰 HTTP(S) Lazarus RAT(名为 BlindingCan)的后继者。LightlessCan 是一种新的复杂 RAT,支持多达 68 个不同的命令,在自定义函数表中索引,但在当前版本 1.0 中,只有 43 个命令实现了某些功能。其余命令存在,但以占位符的形式正式实现,缺乏实际功能。RAT 背后的项目肯定是基于 BlindingCan 源代码,因为共享命令的顺序被显着保留,即使它们的索引可能存在差异。
最重要的更新是模仿许多本机Windows 命令的功能,如ping、ipconfig、systeminfo、sc、net等。硬编码字符串“操作成功完成。”,ERROR_SUCCESS结果的标准系统消息,让我们想到了这个想法。表 2 包含在 LightlessCan 中实现的命令的列表。在之前报道的 Lazarus 攻击中(如Positive Technologies于 2021 年 4 月发布的博客文章和HvS Consulting于 2020 年 12 月发布的博客文章所述),这些本机命令通常在许多情况下执行攻击者在目标系统中站稳脚跟后。然而,在这种情况下,这些命令是在 RAT 本身内谨慎执行的,而不是在系统控制台中明显执行的。这种方法在隐秘性方面提供了显着的优势,无论是逃避 EDR 等实时监控解决方案还是事后数字取证工具。内部版本号(1.0)表明这代表了攻击者的新开发工作。
由于 Windows 的核心实用程序是专有的而非开源的,LightlessCan 的开发人员面临着一个选择:要么对闭源系统二进制文件进行逆向工程,要么从Wine项目中提供的代码中获得灵感,其中许多程序都被重写了为了模仿它们在 Linux、macOS 或 ChromeOS 等其他平台上的执行。我们倾向于相信开发人员选择了第一个选项,因为他们在 LightlessCan 中模仿的相应 Wine 程序的实现略有不同或根本没有实现(例如netsh)。
有趣的是,在我们分析的一个案例中,LightlessCan 有效负载存储在受感染计算机上的加密文件中,该文件只能使用依赖于环境的密钥进行解密。有关此内容的更多详细信息,请参阅执行链 3:LightlessCan(复杂版本)部分。这是为了确保有效负载只能在目标受害者的计算机上解密,而不能在安全研究人员的设备上解密。
表 2. 模仿 Windows 提示符的 LightlessCan 命令列表
图 4. 揭示ipconfig功能子集的硬编码字符串
图 5. 揭示网络 功能子集的硬编码字符串
图 6. 揭示netsh 防火墙功能的硬编码字符串
图 7. 揭示(部分)reg 功能的硬编码字符串
图 8. 揭示(部分) sc功能的硬编码字符串
图 9. 揭示wmic 进程调用创建功能的硬编码字符串
图 10. 揭示(部分) schtasks功能的硬编码字符串
此外,对 RAT 内部配置的检查表明,与 BlindingCan 相比,Lazarus 提高了 LightlessCan 中的代码复杂度。
技术分析
在本节中,我们提供有关提供 NickelLoader 下载程序的妥协链以及 Lazarus 用于在受感染系统上传递其有效负载的三个执行链的技术详细信息。
妥协链:NickelLoader
NickelLoader 是一个 HTTP(S) 下载程序,通过 DLL 侧面加载在受感染的系统上执行,随后用于传递其他 Lazarus 有效负载。
NickelLoader 的交付过程分一系列阶段展开,从执行PresentationHost.exe开始,该执行在目标手动执行初始测验挑战后自动触发;Quiz1案例如图 3 所示。恶意动态链接库mscoree.dll随后由合法的PresentationHost.exe进行旁加载(两者均位于C:ProgramShared中)。该DLL是一个木马化的NppyPluginDll.dll,来自2011年不活跃的Notepad++项目的通用Python插件DLL。它充当释放器并具有各种导出:从原始NppyPluginDll.dll复制的所有导出加上合法mscoree.dll的所有导出。这些合法导出之一CorExitProcess包含负责解密和执行下一个恶意软件阶段的恶意代码。
为了成功解密植入程序中嵌入的加密数据数组,植入程序需要三个 16 个字符长的关键字。这些关键词如下:
1、父进程的名称 ( PresentationHost ),
2、硬编码在二进制文件中的内部参数 ( 9zCnQP6o78753qg8 )
3、在命令行上传递的外部参数 ( ‑embeddingObject ),该参数继承自PresentationHost.exe的父进程,由Quiz1.exe或Quiz2.exe提供。
关键字逐字节进行异或运算,输出形成 AES-128 解密密钥。
该有效负载是一个 HTTP(S) 下载程序,可识别四个命令,全部为五个字母长,如表 3 所示。由于这五个字母命令,我们选择将此有效负载命名为“NickelLoader”,灵感来自于美国的口语术语五分硬币——一枚镍币。最重要的命令是avdrq和gabnc。当发出这些命令时,每个命令都会将从 C&C 服务器接收到的数据加载为 DLL。为此,攻击者可能使用MemoryModule,这是一个可用于完全从内存加载 DLL 的库。
表 3. 接收缓冲区中识别的魔法关键字列表
执行链1:miniBlindingCan
NickelLoader 下载并执行的有效负载之一是 miniBlindingCan,它是该组织旗舰产品 BlindingCan RAT 的简化版本。Mandiant于 2022 年 9 月首次报道了该事件,名称为 AIRDRY.V2。
为了加载 miniBlindingCan,从C:ProgramDataAdobe执行的合法colorcpl.exe会旁加载64 位恶意动态链接库colorui.dll,并充当植入程序。该 DLL 使用 VMProtect 进行混淆,并包含数千个导出,其中LaunchColorCpl是最重要的,因为它处理下一阶段的执行。DLL 的转储主体中有一个加密的数据数组,以及多个显示根目录和构建它的项目的调试符号:
W:DevelopaToolShellCodeLoaderApplibressl-2.6.5顾名思义, ShellCodeLoader的主要目的是解密并从包含 shellcode 的主体中加载数据数组。在执行开始时,ShellCodeLoader通过检查进程环境块 (PEB) 结构中的 BeingDebugged 值来采用反调试技术,以确定它是否正在被调试工具仔细检查或分析,并利用反沙箱技术来避免沙箱内的检测专为安全分析而设计的环境。恶意软件还明确检查其父进程是否为colorcpl.exe;如果没有,则立即退出。
解密的数据数组不是完整的 DLL,而是形成一个由两部分组成的中间 blob:shellcode 后面跟着另一个加密的数据数组,它代表链的最后一步。shellcode 似乎是由开源项目ShellcodeRDI的一个实例生成的,特别是ShellcodeRDI.c代码。它可能是通过在作为反射 DLL 注入源的有效负载 DLL 上执行该项目中的 Python 脚本ConvertToShellcode.py来生成的。
最终的有效负载使用长密钥进行 XOR 提取和解密,长密钥是通过连接父进程的名称 ( colorcpl.exe )、释放器的文件名 ( colorui.dll ) 和外部命令行参数构建的字符串– 在这种情况下导致COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7。这个过程类似于我们之前在WeLiveSecurity 博文中描述的荷兰案例中通过 BlindingCan 后门观察到的情况。解密揭示了一个具有下载和执行功能的可执行文件,其发送和解析命令的内部逻辑很容易让人想起 BlindingCan,这是一款旗舰级 HTTP(S) Lazarus RAT。与荷兰的情况不同,它没有经过 VMProtect 保护,并且仅支持之前可用的一小部分命令:比较本博文中的表 4 和 2022 年 9 月荷兰案例博文中的表 3。因为该 RAT的功能与 BlindingCan 相比,它们的规模明显缩小,但它们似乎共享相同的服务器端基础设施,我们选择通过在其名称中添加前缀“mini-”来区分它,突出显示与完整的功能相比,其功能有所减少。特色 RAT 对应物。
表 4. miniBlindingCan 的命令
图 11 显示了 RAT 中嵌入的 9,392 字节长配置的解密状态。它包含五个 URL,在本例中是受感染的网站,每个 URL 的最大大小限制为 260 个宽字符。
图 11. miniBlindingCan 后门的配置。突出显示的值是 URL 的计数,但此处仅显示 5 个 URL 中的第一个和最后一个。最后两个宽字符串的用途未知
执行链2:LightlessCan(简单版)
我们看到 NickelLoader 执行的另一个有效负载是 LightlessCan,一个新的 Lazarus 后门。我们观察到有两个不同的链加载这个后门。
在链的简单版本中,该有效负载的释放器是恶意动态链接库mapistub.dll ,它是由从C:ProgramDataOracleJava执行的合法fixmapi.exe旁加载的。该 DLL 是一个木马化的 Lua 插件,版本 1.4,所有导出都是从合法的 Windows mapi32.dll复制的。导出的FixMAPI包含恶意代码,负责下一阶段的解密和加载;所有其他导出都包含来自公开可用的MineSweeper 示例项目的良性代码。这个mapistub.dllDropper 通过计划任务建立持久性。不幸的是,我们缺乏有关此任务的其他详细信息,除了其父进程显示为%WINDOWS%system32svchost.exe -k netsvcs -p -s Schedule。
要成功解密嵌入的数据数组,释放器需要正确提供三个关键字:
1、父进程的名称(fixmapi.exe),
2、硬编码在二进制文件中的内部参数 ( IP7pdINfE9uMz63n ),以及
3、在命令行 ( AudioEndpointBuilder )中传递的外部参数。
关键字逐字节进行异或运算,输出形成用于解密的 128 位 AES 密钥。请注意,关键字的长度并不都是 16 字节,但如果过大的字符串被截断为 16 字节长度(例如, AudioEndpointBuilder 到 AudioEndpointBui ),而过小的字符串,fixmapi.exe ,解密过程仍然有效。,被视为fixmapi.exex00x00x00x00x00,因为该字符串被初始化为NUL字符的 260 个实例。
执行链3:LightlessCan(复杂版)
我们在受感染系统上观察到的最复杂的链也提供了 LightlessCan,其中包含完整安装阶段链中涉及的各种组件:合法应用程序、初始植入程序、完整植入程序(包含配置)、中间植入程序、配置文件、包含系统信息的文件(用于解密文件系统上的加密有效负载)、中间加载程序和最后一步,LightlessCan RAT。这些文件之间的连接和关系如图 12 所示。
图 12. 提供第四个有效负载的复杂级链
第四条链的初始释放器是一个恶意动态链接库HID.dll ,它由合法可执行文件tabcal.exe侧面加载,从C:ProgramDataAdobeARM执行。该DLL是MZC8051.dll的木马版本,MZC8051.dll是来自Notepad++的8051 C编译器插件项目的合法文件。它包含原始项目的所有导出,还包含 Microsoft 合法 Hid 用户库的必要导出,以便tabcal.exe的侧面加载能够成功。导出HidD_GetHidGuid包含负责删除下一阶段的恶意代码,并且与前一个链(执行链 2)的删除程序的情况一样,所有其他导出都包含良性 MineSweeper 代码。
与前面的情况一样,必须提供三个长关键字来解密嵌入的有效负载:
1、父进程的名称 ( tabcal.exe ),
2、硬编码在二进制文件中的内部参数 ( 9zCnQP6o78753qg8 ),以及
3、外部参数 ( LocalServiceNetworkRestricted ) – 这次不表示为命令行参数,而是表示为位于%WINDOWS%system32thumbs.db的文件的内容。
同样,关键字逐字节进行异或运算,输出形成用于解密的 128 位 AES 密钥。与前面的情况一样,关键字的长度并不都是 16 个字节,但是如果截断过大的字符串(例如,到LocalServiceNetw)并且使用空值扩展过小的字符串(例如,到tabcal.exex00x00x00x00x00x00)。
上述配方生成的可执行文件是图 12 中的完整释放器,并具有 InternalName 资源AppResolver.dll(可在 VERSIONINFO 资源中找到)。它包含两个加密数据数组:一个为 126 字节,一个为 1,807,464 字节(包含三个子部分)。首先,它使用 RC6 算法和硬编码的 256 位密钥DA 48 A3 14 8D BF E2 D2 EF 91 12 11 FF 75 59 A3 E1 6E A0 64 B8 78 89 77 A0 37 91 58 5A FF FF 07 对小数组进行解密。输出表示大 blob 的前两个子部分被投放到的路径(即 LightlessCan 和中间投放程序),并生成字符串C:windowssystem32oci.dll和C:windowssystem32grpedit。数据。
接下来,它继续使用与之前相同的加密密钥解密第二个数据数组(大 blob)。结果是一个解密的 blob,包含三个子部分:对应于grpedit.dat (LightlessCan) 的 DLL、对应于oci.dll(中间释放器)的 DLL 以及释放到%WINDOWS%System32wlansvc 的 14,948 字节加密文件。 cpl(配置);如图 13 所示。
图 13. 存储在 wlansvc.cpl 中的解密配置
此外,完整的植入程序还将识别受感染系统的多个特征存储在文件%WINDOWS%System324F59FB87DF2F中,该文件的名称被硬编码在二进制文件中。这些特征主要从ComputerHKLMHARDWAREDESCRIPTIONSystemBIOS注册表路径中检索。以下是这些特征的具体值,以及括号中提供的 PowerShell 命令,可用于在任何 Windows 计算机上显示相应的值:
SystemBIOSDate ( Get-ItemProperty "HKLM:HARDWAREDescriptionSystemBIOS" -Name BIOSReleaseDate | Select-Object -Property BIOSReleaseDate )
SystemBIOSVersion ( Get-CimInstance -ClassName Win32_Bios | Select-Object -Property Version )
SystemManufacturer ( Get-CimInstance -ClassName Win32_ComputerSystem | Select-Object -PropertyManufacturer )
SystemProductName ( Get-CimInstance -ClassName Win32_ComputerSystemProduct | Select-Object -属性名称)
ComputerHKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemMultifunctionAdapter�DiskController�DiskPeripheral�中的标识符从文件系统解密加密的grpedit.dat需要连接这些值。在 VMWare 上运行 Windows 10 映像的测试机器上,输出可以是:
11/12/20INTEL - 6040000VMware, Inc.VMware 虚拟平台656ba047-20b25a2a-A
oci.dll文件是另一个投放层——投放中间加载程序的中间投放程序,该加载程序是类似于前面提到的荷兰案例中描述的有效负载。攻击者再次使用了一个开源项目,即Notepad++ 的Flashing Tip插件,该项目已不再在线提供。与之前的情况不同,只需提供两个长关键字即可使用 AES-128 成功解密嵌入的有效负载:
1、父进程的名称 ( msdtc.exe )
2、硬编码在二进制文件中的内部参数 ( fb5XPNCr8v83Y85P )。
这两个关键字都逐字节进行异或运算(父进程名称被截断,或用 NULL 填充,根据需要填充 16 个字节)。解密的产物是中间加载器(LLTMapperAPI.dll)。它使用系统信息(与4F59FB87DF2F中存储的值相同)解密配置文件wlansvc.cpl并定位、解密和加载加密的grpedit.dat,这就是 LightlessCan,新的全功能 RAT。
结论
我们描述了一次源自 LinkedIn 的新的 Lazarus 攻击,其中虚假招聘人员接近其潜在受害者,这些受害者将公司计算机用于个人目的。尽管公众对此类攻击的认识应该很高,但这些活动的成功率仍然没有降至零。
该攻击最令人担忧的方面是新型有效负载 LightlessCan,这是一种复杂且可能不断发展的工具,在设计和操作方面表现出高水平的复杂性,与其前身 BlindingCan 相比,代表了恶意功能的显着进步。
攻击者现在可以显着限制他们最喜欢的 Windows 命令行程序的执行跟踪,这些程序在他们的攻击后活动中大量使用。这种做法具有深远的影响,影响实时监控解决方案和事后数字取证工具的有效性。
IOCs
文件
网络
转载来源:https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/
图片来源网络侵权可联系删除
