朝鲜黑客在有针对性的活动中部署新的MagicRAT恶意软件

被称为 Lazarus 集团的多产朝鲜民族国家行为体与一个名为法官。

Cisco Talos 在与黑客新闻分享的一份报告中称，之前未知的恶意软件被部署在受害者网络中，该网络最初通过成功利用面向互联网的 VMware Horizon 服务器而被入侵。

Talos 研究人员 Jung soo-An、Asheer Malhotra 和 Vitor Ventura 说：“虽然是一个相对简单的 RAT 能力，但它是借助 Qt 框架构建的，唯一的目的是使人类分析更困难，并减少通过机器学习和启发式进行自动检测的可能性”。

Lazarus 集团，也被称为 APT38、黑暗首尔、隐藏眼镜蛇和锌，指的是朝鲜政府采取的一系列金融动机和间谍驱动的网络活动，作为规避对该国实施的制裁并实现其战略目标的手段。

与其他伞式集体 Winnti 和 MuddyWater 一样，国家赞助的黑客集体也有 “衍生” 团体，如 Bluenoroff 和 Andariel，它们专注于特定类型的攻击和目标。

虽然 Bluenoroff 小组专注于攻击外国金融机构和实施货币盗窃，但安达瑞尔致力于追击韩国组织和企业。



“Lazarus 开发了自己的攻击工具和恶意软件，可以使用创新的攻击技术，工作非常有条不紊，而且需要时间，” 网络安全公司 NCC Group 在一份详细介绍威胁行为体的报告中说。

“特别是，朝鲜的方法旨在避免安全产品的检测，并尽可能长时间保持在黑客系统中不被发现”。

最新加入的广泛恶意软件工具集表明，该集团有能力根据其目标和运营目标采用多种战术和技术。

MagicRAT 是一种基于 C++ 的植入物，旨在通过在受损系统上创建计划任务来实现持久性。它还 “相当简单”，因为它为攻击者提供了一个远程 shell 来执行任意命令和执行文件操作。

MagicRAT 还能够启动从受感染主机上的远程服务器检索的额外有效负载。从命令和控制（C2）服务器检索的一个可执行文件采用 GIF 图像文件的形式，但实际上是一个轻量级端口扫描仪。

此外，发现与 MagicRAT 相关的 C2 基础设施包含并服务于较新版本的 TigerRAT，这是一个以前属于安达瑞尔的后门，旨在执行命令、截图、记录击键和获取系统信息。

最新版本中还包含了一个 USB 转储功能，允许对手搜索具有特定扩展名的文件，同时为实现网络摄像头的视频捕获奠定基础。

“在野外发现 MagicRAT 表明了 Lazarus 的动机，即快速构建新的定制恶意软件，与 TigerRAT 等之前已知的恶意软件一起使用，以针对全球组织，” 研究人员说。