Discuz! Board

 找回密码
 立即注册
查看: 647|回复: 0

[图]安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

[复制链接]

2

主题

2

帖子

8

积分

超级版主

Rank: 8Rank: 8

积分
8
发表于 2019-3-4 17:14:22 | 显示全部楼层 |阅读模式

  黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码--Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。

  根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。
  在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。

  研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建网站和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。
  尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|网赚论坛货源网 ( 皖ICP备15003055号-1

GMT+8, 2019-5-24 21:59 , Processed in 0.085455 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表