完结小说,神墓辰东小说,盗墓笔记小说txt下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

圖種再現(xiàn)？Lazarus組織將惡意代碼隱藏在.BMP圖像中

最近在一起針對(duì)韓國(guó)實(shí)體的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)中發(fā)現(xiàn)，與朝鮮有關(guān)的APT組織Lazarus將惡意代碼隱藏在了.BMP圖像文件中以逃避檢測(cè)。

成都創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營(yíng)銷、網(wǎng)站重做改版、陽(yáng)高網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、html5、電子商務(wù)商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為陽(yáng)高等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

隱藏在.BMP圖像種的惡意代碼可以在受害者的系統(tǒng)上安裝一個(gè)遠(yuǎn)程訪問(wèn)木馬(RAT)，使攻擊者可以竊取敏感信息。

來(lái)自Malwarebytes的研究人員表示，此次網(wǎng)絡(luò)釣魚活動(dòng)是由分發(fā)帶有惡意文件的電子郵件開(kāi)始的，并且研究人員于4月13日發(fā)現(xiàn)了該文件。

此次釣魚郵件所創(chuàng)建的誘騙文件聲稱是韓國(guó)某個(gè)城市的博覽會(huì)的參與申請(qǐng)表，并提示用戶在首次打開(kāi)時(shí)啟用宏。

該宏首先調(diào)用MsgBoxOKCancel函數(shù)，向用戶彈出一個(gè)消息框，聲稱是微軟Office的舊版本。在后臺(tái)，該宏調(diào)用一個(gè)壓縮為zlib文件的可執(zhí)行HTA文件，該文件被包含在一個(gè)整體的PNG圖像文件中。

該宏還通過(guò)調(diào)用WIA_ConvertImage函數(shù)將PNG格式的圖像轉(zhuǎn)換為BMP格式。專家指出，將PNG文件格式轉(zhuǎn)換為BMP文件格式會(huì)自動(dòng)解壓從PNG嵌入到BMP的惡意zlib對(duì)象，因?yàn)锽MP文件格式是未壓縮的圖形文件格式。利用這個(gè)技巧，攻擊者可以避免檢測(cè)到圖像內(nèi)的嵌入對(duì)象。

之后用戶會(huì)觸發(fā)感染鏈的攻擊代碼，最終投放一個(gè)名為 "AppStore.exe "的可執(zhí)行文件。

然后，該有效載荷繼續(xù)提取附加在自己身上的加密的第二階段有效載荷，在運(yùn)行時(shí)進(jìn)行解碼和解密，接著與遠(yuǎn)程服務(wù)器建立通信，接收額外的命令，并將這些命令的結(jié)果傳回服務(wù)器。

此次活動(dòng)與過(guò)去的Lazarus行動(dòng)有許多相似之處，例如第二階段的有效載荷使用了與Lazarus相關(guān)的BISTROMATH RAT所使用的類似的自定義加密算法。

Lazarus APT組織背景

Lazarus APT組織至少?gòu)?009年就開(kāi)始活躍，一般認(rèn)為該組織與朝鮮有關(guān)。其攻擊方式主要是利用惡意軟件。

該組織參與了眾多網(wǎng)絡(luò)間諜活動(dòng)和破壞活動(dòng)，擁有豐厚的“戰(zhàn)績(jī)”。一般認(rèn)為該組織與大規(guī)模的WannaCry勒索軟件攻擊有關(guān)，此外，2016年的大量SWIFT攻擊和索尼影業(yè)遭受的黑客攻擊也被認(rèn)為與該組織有所聯(lián)系。

根據(jù)卡巴斯基2020年發(fā)布的報(bào)告，近兩年，該組織持續(xù)針對(duì)加密貨幣交易所來(lái)演變其TTP。

網(wǎng)頁(yè)名稱：圖種再現(xiàn)？Lazarus組織將惡意代碼隱藏在.BMP圖像中
轉(zhuǎn)載來(lái)源：http://m.fisionsoft.com.cn/article/cogssdh.html

新聞中心

Lazarus APT組織背景

其他資訊