3 月 9 日,腾讯御见威胁情报中心监测到疑似北朝鲜的骇客组织 Lazarus 再度活跃,利用最新 Flash 漏洞 CVE-2018-4878 频繁发起攻击,透过传递暗藏 FALLCHILL 远端控制木马的恶意 doc 档案进行鱼叉攻击,对象主要为国外数位货币交易所。
从 Adobe 漏洞致谢公告来看,CVE-2018-4878 漏洞的野外攻击样本最早是由韩国电脑应急回应小组(KR-CERT)发现。KR-CERT 也表示,来自北朝鲜的骇客组织已成功利用这个 0Day 漏洞发起攻击,与 Lazarus 主要攻击目标一致,进一步验证 Lazarus 组织就是本次攻击活动的发起者。
据了解,Lazarus(T-APT-15)是北朝鲜的 APT 组织,该组织长期对韩国、美国进行渗透攻击,此外还攻击全球金融机构。尽管 Lazarus 组织的攻击活动不断披露,但是该组织从未停止攻击脚步,同时还把攻击目标不断扩大,包括能源、军事、政府等部门专项金融机构,尤其是数位货币交易所等,该组织堪称全球金融机构的最大威胁。
Lazarus 组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具使用 0day 漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,透过内嵌恶意档案对目标进行攻击。不法分子十分狡猾,将邮件档案虚拟装成协定、最流行的加密货币交易所的安全分析、IT 安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载执行。
▲ 诱饵档案内容。
透过分析溯源发现,该恶意档案内藏 FALLCHILL 远端控制木马最新变种。FALLCHILL 木马是 Lazarus 开发并使用的木马,最早出现 2017 年初。该木马能远端档案作业、远端程式作业、远端资讯抓取、自卸载等各种功能,用户一旦中招,电脑重要资讯将面临极大威胁。
尽管该攻击目前尚未在台湾发现,但用户仍不可放松警惕,不要轻易点击来历不明的档案。
(本文由 雷锋网 授权转载;首图来源:shutterstock)
