全文共字,阅读大约需要7分钟。
一、情报背景
近日,GoogleTAG安全部门披露了一起利用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的社会工程学攻击事件,经绿盟科技伏影实验室分析,确认此次事件为Lazarus组织针对网络安全行业的一次针对性网络攻击,并猜测其可能有更深层次的攻击意图和行动。绿盟科技攻击对抗技术研究团队M01NTeam也针对此次事件展开了全面的分析研判,认定本次事件是一个典型的“明修栈道、暗渡陈仓”社会工程学攻击事件,也将在本文中揭秘该事件中Lazarus组织使用的一种新型间接命令执行攻击技术。
Lazarus组织是一支来自朝鲜半岛的APT组织。该组织自年就开始活跃,长期对韩国、中国、美国、印度等国家进行攻击活动。据国外安全公司的调查显示,Lazarus组织与年索尼影业遭黑客攻击事件,年孟加拉国银行数据泄露事件,年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病*也被怀疑是该组织所为。
二、攻击技术分析
Lazarus组织的攻击者伪装成安全研究人员建立了一个研究博客和多个Twitter账号,这些伪装账号大都打上了Web开发、浏览器漏洞挖掘、Windows内核安全甚至CTF选手等一些身份标签,并会发布一些安全研究动态,同时相互评论转发来扩大影响力。
另外他们的博客(