图种再现？Lazarus组织将恶意代码隐藏在.BMP图像中

最近在一起针对韩国实体的鱼叉式网络钓鱼活动中发现，与朝鲜有关的APT组织Lazarus将恶意代码隐藏在了.BMP图像文件中以逃避检测。

成都创新互联专注于企业成都全网营销、网站重做改版、阳高网站定制设计、自适应品牌网站建设、html5、电子商务商城网站建设、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为阳高等各大城市提供网站开发制作服务。

隐藏在.BMP图像种的恶意代码可以在受害者的系统上安装一个远程访问木马(RAT)，使攻击者可以窃取敏感信息。

来自Malwarebytes的研究人员表示，此次网络钓鱼活动是由分发带有恶意文件的电子邮件开始的，并且研究人员于4月13日发现了该文件。

此次钓鱼邮件所创建的诱骗文件声称是韩国某个城市的博览会的参与申请表，并提示用户在首次打开时启用宏。

该宏首先调用MsgBoxOKCancel函数，向用户弹出一个消息框，声称是微软Office的旧版本。在后台，该宏调用一个压缩为zlib文件的可执行HTA文件，该文件被包含在一个整体的PNG图像文件中。

该宏还通过调用WIA_ConvertImage函数将PNG格式的图像转换为BMP格式。专家指出，将PNG文件格式转换为BMP文件格式会自动解压从PNG嵌入到BMP的恶意zlib对象，因为BMP文件格式是未压缩的图形文件格式。利用这个技巧，攻击者可以避免检测到图像内的嵌入对象。

之后用户会触发感染链的攻击代码，最终投放一个名为 "AppStore.exe "的可执行文件。

然后，该有效载荷继续提取附加在自己身上的加密的第二阶段有效载荷，在运行时进行解码和解密，接着与远程服务器建立通信，接收额外的命令，并将这些命令的结果传回服务器。

此次活动与过去的Lazarus行动有许多相似之处，例如第二阶段的有效载荷使用了与Lazarus相关的BISTROMATH RAT所使用的类似的自定义加密算法。

Lazarus APT组织至少从2009年就开始活跃，一般认为该组织与朝鲜有关。其攻击方式主要是利用恶意软件。

该组织参与了众多网络间谍活动和破坏活动，拥有丰厚的“战绩”。一般认为该组织与大规模的WannaCry勒索软件攻击有关，此外，2016年的大量SWIFT攻击和索尼影业遭受的黑客攻击也被认为与该组织有所联系。

根据卡巴斯基2020年发布的报告，近两年，该组织持续针对加密货币交易所来演变其TTP。

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容