拉撒路集团活动概述
概述:
- 时间跨度:拉撒路集团的活动可追溯至2009年,涉及多项严重网络攻击,包括针对索尼影视娱乐的大型数据泄露、韩国的特洛伊行动网络间谍活动、以及对韩国媒体和金融机构的“黑暗首尔行动”。
- 关键事件:2016年,该组织被指与孟加拉国中央银行的巨额网络攻击有关联,试图窃取近10亿美元。然而,调查揭示了复杂的情况,包括至少三名独立袭击者以及对银行系统的攻击手段。
主要攻击手法及工具:
- 工具使用:拉撒路集团使用了包括“Bluenoroff”(与SWIFT系统相关的攻击)在内的多种恶意软件和工具,如Hangman恶意软件、Wild Positron/ Duuzer等。
- 攻击目标:银行、金融公司、交易员和赌场成为其主要目标。
- 攻击特点:运用鱼叉式钓鱼攻击,包括CVE-2015-6585零天漏洞,以及对SWIFT系统的针对性攻击。
近期活动及新发现:
- 法医调查:卡巴斯基实验室在东南亚国家进行的法医调查揭示了拉撒路集团的新模块和攻击策略。
- Bluenoroff部门:该部门专门针对支持SWIFT系统的银行进行攻击,同时渗透其他具有大量财务流的目标。
- 技术细节:包括恶意软件的相似性、加密密钥模式、日志记录功能、配置文件处理等技术细节。
关联及归因挑战:
- 归因难题:虽然存在工具相似性,但单凭代码相似性难以确立直接联系,需考虑亚洲开发者社区中的代码流通可能性。
- 事件关联:通过分析发现,事件#1中的恶意软件与孟加拉国攻击使用的工具具有高度相似性,表明两者可能来自同一源码库。
- 操作手法:包括使用自定义后门、TCP隧道工具、键盘记录器等技术,以及对SWIFT软件的针对性攻击。
结论:
拉撒路集团持续活跃,其攻击范围广泛,不仅针对银行系统,还包括金融公司、交易员和赌场。通过分析法医证据和技术细节,能够揭示其攻击策略和操作手法,但归因问题依然存在挑战,需要综合多种证据以建立更强的联系。
