ГлавнаябезопасностьКоманда хакеров Lazarus скрывает полезные данные в файлах изображений BMP

Команда хакеров Lazarus скрывает полезные данные в файлах изображений BMP

Хакерская команда Лазарь использует новые методы для сокрытия своих злонамеренных действий. Исследователи безопасности обнаружили новый фишинговая кампания, где злоупотребляют хакерами Lazarus Файлы изображений BMP для заражения своих жертв.

Файлы изображений Lazarus BMP
Команда хакеров Lazarus скрывает полезные данные в файлах изображений BMP

Команда Lazarus - одна государственная хакерская команда (APT group), которая, как утверждается, финансируется ее правительством Северная Корея.

Это одна из самых продуктивных и сложных APT-команд, работающая более десяти лет. Исследователи обнаружили, что команда Lazarus стоит за крупными атаками на организации по всему миру. Считается, что он несет ответственность за несколько атак с Программа-вымогатель WannaCry, для ограбления банков и для атаки на сервисы обмена криптовалют.

Смотрите также: Lazarus Group: обращается к криптовалютной компании через LinkedIn

Южнокорейские организации являются ключевыми целями Lazarus Group, хотя группа также была связана с нападениями на США и на Южная африка.

В фишинговой кампании, обнаруженной Malwarebytes 13 апреля час. документ аффилированный с Lazarus, раскрыл использование интересной техники, предназначенной для скрыть вредоносные полезные данные в файлах изображений.

Смотрите также: Хакерская команда «Лазарь» нацелена на исследования вакцины COVID-19!

Фишинговая атака начинается с одного его документ Microsoft Офис (양식 양식 d .doc) в Корейский язык. Жертвы призываются к включить макросы чтобы увидеть содержимое файла, которое, в свою очередь, активирует вредоносную полезную нагрузку.

Команда хакеров Lazarus скрывает полезные данные в файлах изображений BMP

Макрос отображает всплывающее сообщение, утверждающее, что это более старая версия Office, но предлагает исполняемый файл HTA в виде сжатого файла zlib в файле изображения PNG.

Во время декомпрессии PNG преобразуется в формат BMP, и, если он включен, файл HTA устанавливает загрузчик для троянец Удаленный доступ (RAT), хранится как «AppStore.exe» на целевой машине.

Смотрите также: 100.000 сайтов Google используются для установки SolarMarket RAT

Это умный метод, используемый хакерами для обходить механизмы безопасности, который может обнаруживать встроенные объекты в изображениях«, Говорят исследователи. "Причина в том, что документ содержит изображение PNG, содержащее сжатый вредоносный объект zlib, и поскольку он сжат, его невозможно обнаружить. Затем хакеры использовали простой механизм преобразования, чтобы распаковать вредоносный контент.».

RAT может подключаться к серверу управления и контроля (C2), получать команды и устанавливать шелл-код. Обмен данными между вредоносной программой и C2 зашифрован и зашифрован и основан на настраиваемый алгоритм шифрования, ранее подключенный к Lazarus Bistromath RAT.

Источник: ZDNet

Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ