从2020年初开始,该威胁组织一直在使用一个被称为ThreatNeedle的定制后门程序对国防工业实施攻击。该后门会在受感染网络内横向移动,收集敏感信息。

Lazarus 是当今最多产的威胁组织之一。Lazarus 至少从2009年就开始活跃,并参与了大规模的网络间谍攻击行动、勒索软件攻击行动,甚至针对加密货币市场的攻击行动。

卡巴斯基研究人员是被要求协助进行事件响应时,第一次注意到这场攻击行动的,他们发现受攻击组织成为一个定制后门(一种可以完全远程控制设备的恶意软件)的受害者。这种被称为“ThreatNeedle”的后门程序能够在受感染网络内横向移动,窃取机密信息。到目前为止,有十几个国家的组织都受到影响。

最初的感染是通过鱼叉式钓鱼攻击进行的;被攻击目标会收到包含恶意Word附件的邮件或一个只想公司服务器的链接。通常情况下,这些邮件会声称包含有关疫情的紧急更新,而且还会自称来自知名的医疗中心。

一旦恶意文档被打开,恶意软件就会被释放,并进入下一阶段的部署过程。这些攻击行动中使用的ThreatNeedle恶意软件属于Manuscrypt恶意软件家族,而该家族的恶意软件则属于Lazarus组织,并且之前被用于攻击加密货币企业。一旦安装,ThreatNeedle会获得受害者设备的完全控制权,这意味着攻击者可以做任何事情,从操纵文件到执行接收到的命令。

这些攻击行动中最有趣的一个技术是该组织能够从办公室的IT网络(包含可以上网的计算机的网络)和工厂的受限网络(包含关键任务资产和高度敏感数据的计算机,不能上网)中窃取数据。根据公司政策,这两个网络之间不应存在信息交换。但是,管理员可以连接到这两个网络以维护这些系统。Lazarus能够获得管理员工作站的控制权,然后设置一个恶意网关来攻击受限网络,并从那里窃取和提取机密数据。

“Lazarus 可能是2020年最活跃的威胁组织,而且这种情况似乎不会在短时间内发生变化。事实上,早在今年1月,Google的威胁分析团队就报告发现Lazarus使用相同的后门程序来攻击安全研究热源。我们预测未来将能看到更多ThreatNeedle的身影,并且我们也会持续关注,”卡巴斯基全球研究和分析团队(GReAT)资深安全研究员Seongsu Park评论说。

“Lazarus 威胁组织不仅高产,而且复杂程度很高。他们不仅能够克服网络分段问题,还做了广泛的研究,以创建高度个性化和有效的鱼叉式钓鱼邮件,并制作了定制工具,将窃取的信息提取到远程服务器。因此企业和组织要采取额外的安全防范措施来防范这类高级攻击,这一点很重要,”卡巴斯基ICS CERT安全专家Vyacheslav Lopeytsev补充说。

要阅读更多有关ThreatNeedle攻击行动的详情,请访问卡巴斯基ICS CERT网站。

您还可以收听2月25日最新一期的GReAT Ideas:绿茶版,了解Seongsu Park对ThreatNeedle威胁研究的演示以及其他APT发现。注册地址为:https://kas.pr/9f5k

为了保护您的组织免受ThreatNeedle之类威胁的攻击,卡巴斯基专家建议:

  • 为您的员工提供基础的网络安全知识培训,因为很多针对性攻击都是通过钓鱼攻击或其他社交工程手段开始的。
  • 如果企业具有运营技术(OT)或关键基础架构,请确保其与企业网络隔离,或者没有未经授权的访问。
  • 确保员工了解并遵守网络安全策略。
  • 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解
  • 部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台
  • 还建议为工业节点和网络部署专门的解决方案,以实现OT网络流量监控、分析和威胁检测——例如卡巴斯基工业网络安全

关于卡巴斯基ICS CERT

卡巴斯基实验室工业控制系统网络应急响应小组(卡巴斯基实验室ICS CERT)是卡巴斯基实验室于2016年发起的一个全球性项目,旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力,以保护工业企业免受网络攻击。卡巴斯基实验室ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。在运营的第一年,该团队确定了全球主要ICS供应商产品中的110多个关键漏洞。卡巴斯基实验室ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。 ics-cert.kaspersky.com

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

攻击国防工业的高级可持续性威胁组织Lazarus

卡巴斯基研究人员发现了一场由Lazarus发起的之前未知的最新攻击行动。Lazarus是一个至少从2009年就开始活跃的高产的高级威胁行为者,该威胁组织与多个攻击活动有关。
Kaspersky Logo