AnasayfagüvenlikLazarus bilgisayar korsanlığı ekibi, BMP görüntü dosyalarındaki yükleri gizler

Lazarus bilgisayar korsanlığı ekibi, BMP görüntü dosyalarındaki yükleri gizler

Bilgisayar korsanlığı ekibi Lazarus Kötü niyetli faaliyetlerini örtbas etmek için yeni teknikler kullanır. Güvenlik araştırmacıları yeni bir tane keşfetti kimlik avı kampanyası, Lazarus bilgisayar korsanlarının istismar edildiği Kurbanlarına bulaştırmak için BMP görüntü dosyaları.

Lazarus BMP görüntü dosyaları
Lazarus bilgisayar korsanlığı ekibi, BMP görüntü dosyalarındaki yükleri gizler

Lazarus ekibi biridir eyalet korsanlığı ekibi (APT grubu), hükümeti tarafından finanse edildiği söylenen Kuzey Kore.

En üretken ve sofistike APT ekiplerinden biridir ve on yılı aşkın süredir aktiftir. Araştırmacılar, Lazarus ekibinin dünyanın dört bir yanındaki kuruluşlara yapılan büyük saldırıların arkasında olduğunu keşfettiler. Birden fazla saldırıdan sorumlu olduğu söyleniyor. WannaCry fidye yazılımı, için banka soygunları ve için kripto para birimi değişim hizmetlerine yönelik saldırılar.

Ayrıca bkz.: Lazarus Group: LinkedIn aracılığıyla kripto para şirketini vurdu

Güney Koreli kuruluşlar, Lazarus Group'un temel hedefleridir. grup aynı zamanda saldırılarla da bağlantılı olmasına rağmen Amerika Birleşik Devletleri ve dahası Güney Afrika.

Tarafından tespit edilen bir kimlik avı kampanyasında Malwarebytes 13 Nisan bir belge Lazarus'a bağlı, ilginç bir tekniğin kullanıldığını ortaya çıkardı. görüntü dosyalarındaki kötü amaçlı yükleri gizleyin.

Ayrıca bkz.: Bilgisayar korsanlığı ekibi "Lazarus", COVID-19 aşıları için araştırmayı hedefliyor!

Kimlik avı saldırısı bir onun belgesi Microsoft, Office (양식 양식 d .doc) içinde Korece. Kurbanlar çağrılıyor makroları etkinleştir dosyanın içeriğini görmek için kötü amaçlı bir yükü etkinleştirir.

Lazarus bilgisayar korsanlığı ekibi, BMP görüntü dosyalarındaki yükleri gizler

Makro, Office'in daha eski bir sürümü olduğunu iddia eden bir açılır mesaj görüntüler, ancak PNG görüntü dosyasında sıkıştırılmış bir zlib dosyası olarak yürütülebilir HTA dosyası.

Dekompresyon sırasında, PNG, BMP formatına dönüştürülür ve etkinleştirildiğinde, HTA dosyası, Truva Uzaktan Erişim (RAT), hedef makinede "AppStore.exe" olarak saklanır.

Ayrıca bkz.: SolarMarket RAT yüklemek için 100.000 Google sitesi kullanılıyor

"Bu, bilgisayar korsanları tarafından güvenlik mekanizmalarını atlamak, görüntülerdeki gömülü nesneleri algılayabilen", Diyor araştırmacılar. "Bunun nedeni, belgenin sıkıştırılmış bir zlib kötü amaçlı nesneye sahip bir PNG görüntüsü içermesi ve sıkıştırıldığı için algılanamamasıdır. Bilgisayar korsanları daha sonra kötü amaçlı içeriği açmak için basit bir dönüştürme mekanizması kullandı.".

RAT, bir komut ve kontrol (C2) sunucusuna bağlanabilir, komutları alabilir ve kabuk kodunu yükleyebilir. Kötü amaçlı yazılım ile C2 arasındaki iletişim şifrelenir ve şifrelenir ve bir önceden Lazarus Bistromath RAT'a bağlanan özel şifreleme algoritması.

Kaynak: ZDNet

Dijital Kalehttps://www.secnews.gr
Hayallerinin peşinden koş ve yaşa!

CANLI HABERLER