APT黑客組織Lazarus再度活躍，這次盯上了數字貨幣

3月9日，騰訊御見威脅情報中心監測到疑似朝鮮的黑客組織Lazarus再度活躍，利用最新Flash漏洞CVE-2018-4878頻繁發起攻擊，通過傳播暗藏FALLCHILL遠端控制木馬的惡意doc文件進行魚叉攻擊，物件主要為國外數字貨幣交易所。

從Adobe漏洞致謝公告來看，CVE-2018-4878漏洞的野外攻擊樣本最早是由韓國計算機應急響應小組（KR-CERT）發現。而KR-CERT也表示，來自朝鮮的黑客組織已經成功利用這個0Day 漏洞發起攻擊，與Lazarus主要攻擊目標一致，進一步驗證了Lazarus組織就是本次攻擊活動的發起者。

據瞭解，Lazarus（T-APT-15）組織是來自朝鮮的APT組織，該組織長期對韓國、美國進行滲透攻擊，此外還對全球的金融機構進行攻擊。儘管Lazarus組織的攻擊活動不斷地被披露，但是該組織從未停止攻擊的腳步，同時還把攻擊目標不斷擴大，包括能源、軍事、政府等部門專項金融機構，尤其是數字貨幣交易所等，該組織堪稱全球金融機構的最大威脅。

Lazarus組織擅長使用郵件釣魚進行魚叉攻擊，同時武器庫強大，具有使用0day漏洞發起攻擊的能力。本次攻擊依然採用該組織最常用的魚叉攻擊，通過內嵌惡意文件對目標進行攻擊。不法分子十分狡猾，將郵件文件偽裝成協議、最流行的加密貨幣交易所的安全分析、IT安全等熱點內容，具有極強的迷惑性和誘惑性，以此吸引使用者下載執行。

誘餌文件內容

通過分析溯源發現，該惡意文件解除安裝的載荷為FALLCHILL遠端控制木馬最新變種。FALLCHILL木馬是朝鮮的黑客組織Lazarus開發並使用的木馬，最早出現於2017年初。該木馬能夠實現遠端檔案操作、遠端程式操作、遠端資訊獲取、自解除安裝等各種功能，使用者一旦中招，電腦重要資訊將面臨極大威脅。

儘管該攻擊目前尚未在我國發現，但國內使用者仍不可放鬆警惕，不要輕易點選來歷不明的檔案。

來源：雷鋒網