Sharpshooter攻擊活動與朝鮮APT Lazarus有關

McAfee研究人員在分析了Sharpshooter攻擊活動的C2伺服器代碼後發現該攻擊活動與朝鮮的APT組織Lazarus有關。據分析，是在政府部門的幫助下進行的，結果表明該攻擊活動的範圍更加廣泛、比研究人員最初認為的更加複雜。

與朝鮮的關係

為了隱藏真實位置，攻擊者使用了ExpressVPN服務，該服務與來自2個倫敦的IP地址的伺服器上的web shell (Notice.php)有關。

但是該IP地址並不是攻擊者的真實來源。與朝鮮APT組織Lazarus的關係是通過分析使用的工具、策略和方法得出的結論。

比如，在Sharpshooter之前研究人員就發現Rising Sun與其他Lazarus組織的攻擊活動使用相同的策略、技術和步驟。

該木馬的三個變種表明Duuzer的進化過程：

研究人員分析發現這些Rising Sun變種都是基於Duuzer後門源碼修改得來的。

兩個攻擊活動中都使用了偽造的招聘網站，而且非常相似，Lazarus使用Rising Sun相似版本的活動可以追溯到2017年。

框架中的惡意組件

研究人員分析來自C2的代碼和數據發現，Rising Sun後門的新變種從2016年就開始使用了。用來傳播和感染受害者的伺服器使用的是Rising Sun的升級版，還含有SSL功能。

Sharpshooter攻擊活動的C2主面板

獲取了C2的信息可以幫助研究人員了解攻擊者的目的和工具。其中就發現了攻擊者隱藏在混淆技術之下的新工具。

通過分析網路包也可以發現，但是這種方法更難，需要的時間也更多。

另一個發現是一個位於南非納米比亞共和國的IP地址。一個可能的解釋是攻擊者使用該區域作為測試域，另一個可能的解釋是攻擊者是從該區域發起攻擊的，但這可能是一個錯誤的信息，會將研究人員指向另一個方向。

研究人員最初發現Sharpshooter是在2018年10月，但來自C2框架的伺服器日誌文件顯示攻擊活動是從2017年9月開始的，可能位於不同的伺服器上。從第一次發現到去年年底，大概2個月的時間內被攻擊的企業和組織數超過87個，而且攻擊活動仍然在繼續進行中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！