与朝鲜有联系的威胁行为者 Lazarus Group 被归因于一场社会工程活动,该活动分发了三种不同的跨平台恶意软件,称为 PondRAT、ThemeForestRAT 和 RemotePE。
NCC Group 的 Fox-IT 在 2024 年观察到的这次攻击针对的是去中心化金融 (DeFi) 领域的一个组织,最终导致员工系统受到损害。
“从那里,攻击者使用不同的 RAT 结合其他工具从网络内部进行发现,例如,收集凭据或代理连接,”云正胡和米克·库门说。“之后,演员转移到了更隐蔽的 RAT,这可能意味着攻击进入了下一阶段。”
攻击链首先是威胁行为者在 Telegram 上冒充一家贸易公司的现有员工,并使用伪装成 Calendly 和 Picktime 的虚假网站安排与受害者的会面。
尽管目前尚不清楚确切的初始访问向量,但利用这一立足点部署了一个名为 PerfhLoader 的加载程序,然后它会丢弃 PondRAT,这是一种已知的恶意软件,被评估为 POOLRAT(又名 SIMPLESEA)的精简变体。这家网络安全公司表示,有一些证据表明,这次攻击可能使用了 Chrome 浏览器中当时的零日漏洞。
与 PondRAT 一起提供的还有许多其他工具,包括屏幕截图器、键盘记录器、Chrome 凭据和 cookie 窃取程序、Mimikatz、FRPC 以及 MidProxy 和 Proxy Mini 等代理程序。
“PondRAT 是一种简单的 RAT,允许操作员读取和写入文件、启动进程和运行 shellcode,”Fox-IT 表示,并补充说它至少可以追溯到 2021 年。“演员将 PondRAT 与 ThemeForestRAT 结合使用大约三个月,然后清理并安装了名为 RemotePE 的更复杂的 RAT。”
PondRAT 恶意软件旨在通过 HTTP(S) 与硬编码命令和控制 (C2) 服务器进行通信以接收进一步的指令,并通过 PondRAT 或专用加载程序直接在内存中启动 ThemeForestRAT。
ThemeForestRAT 与 PondRAT 一样,监控新的远程桌面 (RDP) 会话,并通过 HTTP(S) 联系 C2 服务器以检索多达 20 个命令来枚举文件/目录、执行文件作、执行命令、测试 TCP 连接、基于磁盘上的另一个文件对文件进行时间戳记、获取进程列表、下载文件、注入 shellcode、生成进程并在特定时间内休眠。
Fox-IT 表示,ThemeForestRAT 与代号为 RomeoGolf 的恶意软件有相似之处,该恶意软件被 Lazarus Group 在 2014 年 11 月针对索尼影视娱乐 (SPE) 的破坏性擦除器攻击中使用。诺维塔记录了它,作为被称为“百视达行动”的合作努力的一部分。
另一方面,RemotePE 由 RemotePELoader 从 C2 服务器检索,而 RemotePELoader 又由 DPAPILoader 加载。RemotePE 是用 C++ 编写的,是一种更高级的 RAT,可能保留给高价值目标。
“PondRAT 是一种原始的 RAT,几乎没有提供灵活性,但是,作为初始有效负载,它可以实现其目的,”Fox-IT 说。“对于更复杂的任务,Actor 使用 ThemeForestRAT,它具有更多功能,并且在仅加载到内存中时处于低调状态。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
