朝鲜黑客用ThreatNeedle恶意软件攻击国防公司

一个多产的朝鲜国家支持的黑客组织与一场新的正在进行的间谍活动有关，该活动旨在从国防行业的组织中过滤敏感信息。

卡巴斯基的新发现将这些袭击高度自信地归因于拉扎勒斯集团，这标志着这名APT演员的策略得到了扩展，超越了通常出于经济动机的犯罪范围，为资金短缺的政权提供资金。

这一战略利益的扩大发生在2020年初，利用了一种叫做威胁针研究人员Vyacheslav Kopeytsev和Seongsu Park在周四的一篇文章中说。

在高层次上，该活动利用了一种多步骤的方法，从精心设计的矛式网络钓鱼攻击开始，最终导致攻击者获得对设备的远程控制。

ThreatNeedle通过以新冠病毒为主题的电子邮件发送给目标，带有恶意的Microsoft Word附件作为初始感染载体，打开后运行一个包含恶意代码的宏，用于在受感染的系统上下载和执行额外的有效载荷。

下一阶段恶意软件的功能是将其恶意功能嵌入Windows后门，该后门提供初始侦察功能，并部署用于横向移动和数据外泄的恶意软件。

卡巴斯基安全研究人员说：“一旦安装，ThreatNeedle就能够完全控制受害者的设备，这意味着它可以做从操纵文件到执行接收到的命令的一切事情。”。

卡巴斯基发现ThreatNeedle和另一个名为Manuscrypt的恶意软件家族之间存在重叠，Lazarus Group在之前针对加密货币和移动游戏行业的黑客活动中使用了该家族，此外还发现了与其他Lazarus集群（如AppleJeus、Death Note和Bookcode）的联系。

有趣的是，Manuscrypt上个月也被部署在Lazarus Group的一项行动中，这项行动涉及以网络安全社区为目标，提供合作进行漏洞研究的机会，但却让受害者感染恶意软件，从而导致研究人员开发的漏洞被窃取，从而利用它们对自己选择的脆弱目标发动进一步的攻击。

可能最令人担忧的是，攻击者采用了一种技术，通过“访问内部路由器机器并将其配置为代理服务器，从而绕过未命名企业网络中的网络分段保护，从而允许他们将被盗数据从内联网过滤到远程服务器。”

这家网络安全公司表示，目前已有十多个国家的组织受到影响。

报告中提到的spear网络钓鱼邮件中至少有一封是用俄语写的，而另一封邮件带有一个名为“Boeing_Aerou_GS.docx”的恶意文件附件，可能暗示是美国的目标。

本月早些时候，三名与朝鲜军事情报部门有关的朝鲜黑客被美国司法部起诉，罪名是涉嫌参与一项犯罪阴谋，企图从世界各地的银行和其他组织勒索13亿美元的加密货币和现金。

研究人员总结道：“近年来，拉扎勒斯集团一直专注于攻击世界各地的金融机构。”。“然而，从2020年初开始，他们集中精力积极打击国防工业。”

“虽然Lazarus之前在针对加密货币业务时也使用了此次攻击中使用的ThreatNeedle恶意软件，但它目前正在积极用于网络间谍攻击。”