HomesecurityΗ hacking ομάδα Lazarus κρύβει payloads σε BMP image files

Η hacking ομάδα Lazarus κρύβει payloads σε BMP image files

Η hacking ομάδα Lazarus χρησιμοποιεί νέες τεχνικές για να καλύψει τις κακόβουλες δραστηριότητές της. Ερευνητές ασφαλείας έχουν ανακαλύψει μια νέα phishing εκστρατεία, όπου οι hackers της Lazarus καταχρώνται BMP image files για να μολύνουν τα θύματά τους.

Lazarus BMP image files
Η hacking ομάδα Lazarus κρύβει payloads σε BMP image files

Η ομάδα Lazarus είναι μια κρατική hacking ομάδα (APT ομάδα), που λέγεται ότι χρηματοδοτείται από την κυβέρνηση της Βόρειας Κορέας.

Είναι μια από τις πιο παραγωγικές και εξελιγμένες APT ομάδες και είναι δραστήρια πάνω από μια δεκαετία. Ερευνητές έχουν διαπιστώσει ότι η ομάδα Lazarus βρίσκεται πίσω από μεγάλες επιθέσεις σε οργανισμούς σε όλο τον κόσμο. Λέγεται ότι είναι υπεύθυνη για τις πολλαπλές επιθέσεις με το WannaCry ransomware, για κλοπές τραπεζών και για επιθέσεις εναντίον cryptocurrency exchange υπηρεσιών.

Δείτε επίσης: Lazarus Group: Χτυπά εταιρεία cryptocurrency μέσω του LinkedIn

Οργανισμοί της Νότιας Κορέας αποτελούν βασικούς στόχους της ομάδας Lazarus, αν και η ομάδα έχει συνδεθεί και με επιθέσεις στις ΗΠΑ και στη Νότια Αφρική.

Σε μια phishing εκστρατεία που εντοπίστηκε από τη Malwarebytes στις 13 Απριλίου, ένα έγγραφο που έχει συνδεθεί με τη Lazarus, αποκάλυψε τη χρήση μιας ενδιαφέρουσας τεχνικής που έχει σχεδιαστεί για να αποκρύψει τα κακόβουλα payloads σε image files.

Δείτε επίσης: Η hacking ομάδα “Lazarus” στοχεύει τις έρευνες για εμβόλια COVID-19!

Η phishing επίθεση ξεκινά με ένα έγγραφο του Microsoft Office (참가 신청서 양식 .doc) στην κορεατική γλώσσα. Τα θύματα καλούνται να ενεργοποιήσουν τις μακροεντολές για να δουν το περιεχόμενο του αρχείου, το οποίο, με τη σειρά του, ενεργοποιεί ένα κακόβουλο payload.

Η hacking ομάδα Lazarus κρύβει payloads σε BMP image files

Η μακροεντολή εμφανίζει ένα pop-up μήνυμα που ισχυρίζεται ότι είναι μια παλιά έκδοση του Office, αλλά καλεί ένα εκτελέσιμο HTA file, ως συμπιεσμένο αρχείο zlib σε ένα PNG image file.

Κατά τη διάρκεια της αποσυμπίεσης, το PNG μετατρέπεται σε BMP format και, όταν ενεργοποιηθεί, το HTA file εγκαθιστά ένα loader για ένα Trojan Remote Access (RAT), που αποθηκεύεται ως “AppStore.exe” στο μηχάνημα στόχο.

Δείτε επίσης: 100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

Πρόκειται για μια έξυπνη μέθοδο που χρησιμοποιείται από τους hackers για να παρακάμψουν μηχανισμούς ασφαλείας, που μπορούν να ανιχνεύσουν ενσωματωμένα αντικείμενα μέσα σε εικόνες“, λένε οι ερευνητές. “Ο λόγος είναι επειδή το έγγραφο περιέχει μια εικόνα PNG που έχει ένα συμπιεσμένο zlib κακόβουλο αντικείμενο και δεδομένου ότι είναι συμπιεσμένο δεν μπορεί να εντοπιστεί. Στη συνέχεια, οι hackers χρησιμοποίησαν έναν απλό μηχανισμό μετατροπής για να γίνει αποσύμπιεση του κακόβουλου περιεχομένου“.

Το RAT είναι σε θέση να συνδέεται με έναν command-and-control (C2) server, να λαμβάνει εντολές και να εγκαθιστά shellcode. Η επικοινωνία μεταξύ του κακόβουλου λογισμικού και του C2 είναι κωδικοποιημένη και κρυπτογραφημένη, και βασίζεται σε ένα custom αλγόριθμο κρυπτογράφησης που έχει προηγουμένως συνδεθεί με το Bistromath RAT της Lazarus.

Πηγή: ZDNet

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

LIVE NEWS