北朝鲜骇客组织Lazarus相准美欧求职工程师发动网钓攻击

AT&T Alien Labs近日揭露，他们发现北朝鲜骇客组织Lazarus（微软称之为Zinc）自今年春天开始，锁定美国与欧洲的求职工程师发动攻击，显示Lazarus的攻击对象已从资安工程师扩大到一般工程师。

AT&T Alien Labs为AT&T旗下的资安团队，他们发现Lazarus自今年5月起，就开始假冒为新的国防承包商或是Airbus、General Motors（GM）与Rheinmetall等工程公司，发送夹带恶意文件的招聘邮件，最早的替身为Rheinmetall。

Rheinmetall是德国的国防与装甲车制造商，Lazarus寄出了夹带宏病毒的Windows文件，该宏是个64位元的编码文件，可在执行的时候解压缩，宏内有些档案一直到解压缩才合并，以用来躲避侦测，此外，它还复制且更名了合法的微软执行档Certutil.exe，以用来躲避可追踪来源的端点侦测系统，在成功进驻受害者系统之后，再与Lazarus的命令暨控制服务器连线。

针对Rheinmetall求职者发动攻击的几周后，Lazarus骇客先把目标转向GM，6月再加入Airbus。除了所仿冒的企业不同之外，Lazarus骇客的手法与技术是一致的。

先前Google与微软都曾揭露Lazarus正锁定资安研究人员展开攻击，根据微软的分析，当时骇客是透过浏览器的安全漏洞，诱导资安研究人员造访恶意网站，再于受害者系统上植入恶意程式。

而根据AT&T Alien Labs的追踪，Lazarus也擅长利用微软Office文件下载远端范本、Office宏或是先危害第三方基础设施等途径展开攻击，亦警告Lazarus有可能透过类似的技术，来入侵-组织的工程专家，提醒各界小心。