我们听说过很多关于高级持久性威胁(APTs)在过去的几年里。作为复习,APT是针对特定目标的长时间、有针对性的攻击,目的是破坏其系统并从该目标获取信息。
虽然目标可能是任何人或任何东西——个人、企业或其他组织——但apt通常与政府或军事行动有关,因为它们往往是拥有进行此类攻击所需资源的组织。从2013年Mandiant的APT1报告开始,针对单一民族国家的大规模黑客行为的曝光就一直在持续。
网络安全公司在观察和分析民族国家威胁行为体的工具和策略方面表现得相对较好;他们不太善于将这些行动置于足够的环境中,以便辩护人进行可靠的风险评估。因此,我们将从更广泛的角度来审视一些APT团体,看看它们如何适应更大的威胁环境。
今天,我们将回顾拉撒路组织的活动,该组织又名“隐藏的眼镜蛇”和“和平卫士”。
谁是拉撒路集团?
人们普遍认为,拉扎鲁斯集团由朝鲜政府管理,其动机主要是为了获得经济利益,以此规避对朝鲜政权的长期制裁。他们首先达成了实质性协议媒体注意到2013年,韩国广播公司和金融机构利用Darkseul(一个覆盖受害者部分的雨刷程序)发动了一系列协同攻击主引导记录.
2014年11月,规模很大违反索尼影业都是拉撒路的功劳。这次攻击之所以引人注目,是因为它对索尼的网络进行了大规模渗透,大量数据被窃取和泄露,还使用了雨刷,可能是为了抹掉法庭证据。攻击的具体原因还不清楚,但联邦调查局发布了一份声明,将索尼入侵事件与早些时候的DarkSeoul攻击事件联系起来官方将这两起事件归咎于朝鲜。
随着流感的广泛爆发,时间很快就到了2017年5月WannaCry,一种利用SMB漏洞作为攻击载体的勒索软件。归罪于朝鲜的主要依据是“想哭”和之前的朝鲜攻击之间的代码重用,但考虑到地区威胁组织之间共享工具的常见做法,这被认为是站不住的。西方情报机构向公众发布了官方声明,重申了这一归因。2018年9月6日,美国司法部指控一名朝鲜公民参与了“想哭”和索尼入侵事件。
最近,Lazarus Group出于财务动机的分支因攻击金融机构以及加密货币交易所而备受关注。后者以涉及针对Windows和MacOS的特洛伊木马交易应用程序而著称。
通常部署的恶意软件
你应该担心吗?
是的,但不是你想象的那样。拉扎鲁斯集团的活动以财务收益为中心,同时也以实现朝鲜政权的政治目标为中心。鉴于朝鲜所宣称的政治目标往往过于关注与韩国和日本的地区冲突,该领域以外的企业受到政治动机攻击的风险可能较低。
然而,财务动机对几乎所有的组织都有很大的风险。幸运的是,对这类攻击的防御在很大程度上是相同的,不管它们是不是由国家发起的。防御者应该有强大的日志监控能力,补丁管理程序,反钓鱼保护,旗帜区分合法的沟通与领导和冒牌货。
他们下一步会做什么?
与许多其他威胁组织相比,将拉撒路袭击事件归罪于该组织的力度要小一些,数十年来,要猜测朝鲜的政治动机一直很困难。因此,很难预测他们的下一个目标是什么。然而,有一个合理的假设是,虽然对朝鲜领导层的制裁仍将继续,但拉撒路的经济动机也将继续存在。在考虑安全缓解措施时,特别容易受到财务动机攻击的组织应该包括Lazarus。
评论