北韩网络犯罪组织的最新行动

主要观点

• 北韩的 Lazarus Group 使用新型 MagicRAT 恶意软件进行攻击。
• MagicRAT 利用 VMware Horizon 伺服器的漏洞来入侵目标网络。
• 该恶意软件通过 Qt 框架提高了对人类分析和机器学习技术的隐蔽性。
• 研究人员发现其能持久性存在并从远程伺服器部署其他有效载荷。

北韩的网络犯罪组织，Lazarus Group，又名 APT38、Hidden Cobra、Dark Seoul 及 Zinc，近期在攻击中使用了一种新型的恶意软件——MagicRAT，目标主要是通过存在漏洞的 VMware Horizon伺服器入侵的网络。根据的报导，尽管 MagicRAT 基于 C++，但却利用了 Qt 框架以更好地逃避人类分析和机器学习技术的检测。

此外，报告也指出，除了通过建立计划任务来实现持久存在，该恶意软件还能从远程伺服器启动更多的有效载荷，其中一个伪装成 GIF图像文件的轻量级端口扫描器也随之部署。研究人员还发现，与 Lazarus 相关的 TigerRAT 后门的新版本也存在于 MagicRAT的指挥和控制基础设施中。研究人员补充道：“在实际环境中发现 MagicRAT 表明，Lazarus希望快速构建新的定制恶意软件，并将其运用于他们已知的恶意软件，比如 TigerRAT，以针对全球的各类组织。”

进一步研究方向：

相关链接：

借助这些信息的重点分析，我们能更好地理解 Lazarus Group 在网络攻击中不断演变的手法及其影响。