雷鋒網(wǎng)消息，3月9日，騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到疑似朝鮮的黑客組織Lazarus再度活躍，利用最新Flash漏洞CVE-2018-4878頻繁發(fā)起攻擊，通過(guò)傳播暗藏FALLCHILL遠(yuǎn)程控制木馬的惡意doc文檔進(jìn)行魚(yú)叉攻擊，對(duì)象主要為國(guó)外數(shù)字貨幣交易所。

從Adobe漏洞致謝公告來(lái)看，CVE-2018-4878漏洞的野外攻擊樣本最早是由韓國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（KR-CERT）發(fā)現(xiàn)。而KR-CERT也表示，來(lái)自朝鮮的黑客組織已經(jīng)成功利用這個(gè)0Day 漏洞發(fā)起攻擊，與Lazarus主要攻擊目標(biāo)一致，進(jìn)一步驗(yàn)證了Lazarus組織就是本次攻擊活動(dòng)的發(fā)起者。

據(jù)了解，Lazarus（T-APT-15）組織是來(lái)自朝鮮的APT組織，該組織長(zhǎng)期對(duì)韓國(guó)、美國(guó)進(jìn)行滲透攻擊，此外還對(duì)全球的金融機(jī)構(gòu)進(jìn)行攻擊。盡管Lazarus組織的攻擊活動(dòng)不斷地被披露，但是該組織從未停止攻擊的腳步，同時(shí)還把攻擊目標(biāo)不斷擴(kuò)大，包括能源、軍事、政府等部門(mén)專(zhuān)項(xiàng)金融機(jī)構(gòu)，尤其是數(shù)字貨幣交易所等，該組織堪稱(chēng)全球金融機(jī)構(gòu)的最大威脅。

Lazarus組織擅長(zhǎng)使用郵件釣魚(yú)進(jìn)行魚(yú)叉攻擊，同時(shí)武器庫(kù)強(qiáng)大，具有使用0day漏洞發(fā)起攻擊的能力。本次攻擊依然采用該組織最常用的魚(yú)叉攻擊，通過(guò)內(nèi)嵌惡意文檔對(duì)目標(biāo)進(jìn)行攻擊。不法分子十分狡猾，將郵件文檔偽裝成協(xié)議、最流行的加密貨幣交易所的安全分析、IT安全等熱點(diǎn)內(nèi)容，具有極強(qiáng)的迷惑性和誘惑性，以此吸引用戶(hù)下載運(yùn)行。

誘餌文檔內(nèi)容

通過(guò)分析溯源發(fā)現(xiàn)，該惡意文檔卸載的載荷為FALLCHILL遠(yuǎn)程控制木馬最新變種。FALLCHILL木馬是朝鮮的黑客組織Lazarus開(kāi)發(fā)并使用的木馬，最早出現(xiàn)于2017年初。該木馬能夠?qū)崿F(xiàn)遠(yuǎn)程文件操作、遠(yuǎn)程進(jìn)程操作、遠(yuǎn)程信息獲取、自卸載等各種功能，用戶(hù)一旦中招，電腦重要信息將面臨極大威脅。

盡管該攻擊目前尚未在我國(guó)發(fā)現(xiàn)，但國(guó)內(nèi)用戶(hù)仍不可放松警惕，不要輕易點(diǎn)擊來(lái)歷不明的文件。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。