新型MagicRAT恶意软件被Lazarus APT组织利用 媒体
北韩网络犯罪组织的最新行动
主要观点
北韩的 Lazarus Group 使用新型 MagicRAT 恶意软件进行攻击。MagicRAT 利用 VMware Horizon 伺服器的漏洞来入侵目标网络。该恶意软件通过 Qt 框架提高了对人类分析和机器学习技术的隐蔽性。研究人员发现其能持久性存在并从远程伺服器部署其他有效载荷。北韩的网络犯罪组织,Lazarus Group,又名 APT38、Hidden Cobra、Dark Seoul 及 Zinc,近期在攻击中使用了一种新型的恶意软件MagicRAT,目标主要是通过存在漏洞的 VMware Horizon 伺服器入侵的网络。根据《黑客新闻》的报导,尽管 MagicRAT 基于 C,但却利用了 Qt 框架以更好地逃避人类分析和机器学习技术的检测。
此外,报告也指出,除了通过建立计划任务来实现持久存在,该恶意软件还能从远程伺服器启动更多的有效载荷,其中一个伪装成 GIF 图像文件的轻量级端口扫描器也随之部署。研究人员还发现,与 Lazarus 相关的 TigerRAT 后门的新版本也存在于 MagicRAT 的指挥和控制基础设施中。研究人员补充道:“在实际环境中发现 MagicRAT 表明,Lazarus 希望快速构建新的定制恶意软件,并将其运用于他们已知的恶意软件,比如 TigerRAT,以针对全球的各类组织。”
进一步研究方向:
内容描述攻击手法使用漏洞的虚拟伺服器进行攻击。恶意软件特征利用 Qt 框架躲避检测。持久性技术透过计划任务实现持久存在。相关链接:
Lazarus Group 网络活动分析 黑客新闻报导借助这些信息的重点分析,我们能更好地理解 Lazarus Group 在网络攻击中不断演变的手法及其影响。
极光aurora官网
