研究人员将“神枪手”网络攻击与朝鲜黑客联系起来

多亏了研究人员在分析了参与间谍活动并被执法部门没收的指挥与控制（C2）服务器后收集的新证据。

配音神枪手行动2018年12月，McAfee的安全研究人员首次发现了针对全球政府、国防、核能、能源和金融组织的网络间谍活动。

当时，即使在找到了与朝鲜Lazarus黑客组织的大量技术联系后，研究人员仍无法立即将这场活动归因于虚假旗帜的可能性。

研究人员分析了神枪手的命令服务器

现在，根据与《黑客新闻》分享的新闻稿，最近对查获的代码和指挥与控制（C2）服务器进行的分析使研究人员了解了全球网络间谍活动的内部运作，得出结论，朝鲜国家支持的黑客组织是“神枪手行动”的幕后黑手。

Lazarus Group又名“隐藏眼镜蛇”和“和平卫士”，据信得到了朝鲜政府的支持，据报道，该集团与2017年全球WannaCry勒索软件攻击、2016年SWIFT银行黑客攻击以及2014年索尼影业黑客攻击有关。

分析还显示，全球间谍活动早在2017年9月就开始了，比之前想象的早了一年，目前仍在继续。

虽然之前的袭击主要针对美国、瑞士和以色列以及其他英语国家的电信、政府和金融部门，但新发现的证据表明，神枪手已将其重点扩展到关键基础设施，最近的袭击针对德国、土耳其，英国和美国。

神枪手行动：全球网络间谍活动

全球间谍活动通过Dropbox向目标发送包含武器化宏的恶意文件进行传播。一旦打开并下载，宏就会利用嵌入的外壳代码将神枪手下载程序注入Microsoft Word的内存中。

为了进一步利用，这种内存植入物随后会秘密下载第二阶段旭日恶意软件，它使用Lazarus集团后门的源代码特洛伊多泽2015年，恶意软件首次针对韩国的组织传播。

Rising Sun恶意软件随后通过收集和加密数据对受害者的网络进行侦察，包括受害者设备的计算机名、IP地址数据、本机系统信息等。

McAfee高级首席工程师兼首席科学家克里斯蒂安·比克（Christiaan Beek）说：“访问对手的指挥和控制服务器代码是一个难得的机会。这些系统可以深入了解网络攻击基础设施的内部工作，通常会被执法部门抓住，很少提供给私营部门的研究人员”。“在理解和打击当今最著名、最复杂的网络攻击活动的过程中，通过访问该代码获得的见解是不可或缺的”。

此外，对C2服务器和文件日志的分析还揭示了非洲的联系，因为研究人员发现了一个IP地址网络块，该网络块来自非洲国家纳米比亚的一个城市。

研究人员说：“这让McAfee Advanced Threat Research分析师怀疑，神枪手背后的参与者可能在发起更广泛的攻击行动之前，已经在这个地区测试了他们的植入物和其他技术”。

攻击者使用的C2基础设施有一个用超文本预处理器（PHP）编写的核心后端和一个活动服务器页面（ASP），该页面“似乎是集团独有的自定义页面”，自2017年以来一直是Lazarus运营的一部分。