近年来,随着区块链和去中心化金融(DeFi)技术的迅速发展,全球金融系统的数字化转型步伐加快,但与此同时,这也为高级持续性威胁(APT)组织提供了可乘之机。其中,朝鲜Lazarus集团屡屡成为全球网络安全领域关注的焦点。该组织因其复杂多变的攻击手段和极强的隐蔽性而著称,近期他们进一步扩展了恶意软件武器库,推出PondRAT、ThemeForestRAT和RemotePE三款跨平台远控工具,针对DeFi领域展开精心策划的攻击行动。 Lazarus集团的攻击行动展现出高度的策略性。2024年,网络安全企业NCC集团旗下Fox-IT团队发现该组织通过社交工程手段成功渗透一家具备高价值数字资产的去中心化金融公司。攻击链从冒充交易公司员工的Telegram账号开始,攻击者利用伪造的Calendly和Picktime日程安排网站,引诱目标受害者进入钓鱼陷阱中,从而实现初始访问。
虽然具体的初始入侵点未完全公开,但分析显示,攻击者部署了名为PerfhLoader的加载器,该加载器随后植入PondRAT,这是一款被认为是POOLRAT(又称SIMPLESEA)瘦身版本的恶意软件。 作为初期负载,PondRAT实现了简单的远程控制功能,能够读取和写入文件、启动进程及执行shellcode。其通信通过HTTP(S)协议链接到硬编码的命令与控制(C2)服务器,接收进一步指令。尽管功能较为基础,PondRAT的快速部署和隐蔽通信为后续更复杂的攻击阶段奠定了基础。在PondRAT的运行期间,攻击者还伴随投放了包括屏幕截图工具、键盘记录器、Chrome浏览器凭证及Cookie窃取器、Mimikatz密码抓取工具,以及多种代理工具如MidProxy和Proxy Mini,构建起细致全面的内部攻防体系。 在完成初步网络侦察后,Lazarus集团开始启用ThemeForestRAT,作为第二波攻击工具。
ThemeForestRAT区别于PondRAT的一大特点是运行于内存中,极大增加了恶意活动的隐蔽性,难以被传统杀毒软件检测到。该工具持续监控远程桌面协议(RDP)连接,能够执行多达二十种指令功能,包括文件和目录的枚举、文件操作、命令执行、TCP连接检测、时间戳伪装、进程列表获取、文件下载、Shellcode注入、进程生成及休眠控制等。值得关注的是,ThemeForestRAT在攻击手法和代码结构上,与2014年Sony Pictures遭遇的破坏性恶意软件RomeoGolf有显著相似性,暗示Lazarus集团延续并不断演进其网络战技术。 最终,最复杂且针对高价值目标的恶意软件RemotePE成功被部署。RemotePE由RemotePELoader从C2服务器检索,经由DPAPILoader注入目标系统内存。作为C++编写的高阶远控工具,RemotePE拥有更多灵活的功能和更强的隐匿性质,进一步强化Lazarus集团的后渗透能力,应对更加复杂和敏感的攻击需求。
PondRAT负责实现初始渗透,ThemeForestRAT提供扩展功能和隐身性能,而RemotePE则为关键任务发挥核心作用,这样的多阶段部署策略极大地提高了攻击成功率和持久存在能力。 这系列攻击案例不仅暴露了先进APT团队如何针对新兴去中心化金融行业布置复杂的攻击链,也揭示了他们精心设计的社交工程及多层恶意软件协同使用的方法。Lazarus集团利用诈骗Telegram身份和伪造合法调度网站建立初始信任,结合零日漏洞提升攻击效率,堪称现代网络攻击的典范。安全专家应关注这类跨平台恶意软件的运行机制与通信方式,加强对HTTP(S)通信异常的监控和终端行为分析。 随着技术的发展,传统安全防护手段面对高度隐匿、动态加载的恶意代码逐渐显得力不从心。ThemeForestRAT在内存中直接运行,极大地绕过了传统的文件扫描和签名检测,提醒安全运营中心必须引入基于行为分析和内存取证的检测手段。
PondRAT虽功能有限,但作为初次接触的工具,成功获得系统权限后,其辅助手段如Mimikatz等工具则显露出全面窃取认证信息和横向移动的高危风险。 RemotePE的高级功能充分体现了幕后操作者对目标系统全面控制的企图,令防御方应对更加复杂、隐蔽的攻击变得尤为艰巨。对于DeFi和金融科技等关乎资产安全的关键行业,加强零信任架构、严格多因素认证、及时漏洞修补以及员工社交工程防护培训,成为抵御类似Lazarus集团攻击的关键防线。 网络安全社区应密切跟踪Lazarus集团持续进化的工具链和攻击策略,及时共享情报数据。行业应积极利用威胁情报平台和人工智能辅助检测技术,提升对复杂APT攻击的预警和响应能力。科研机构和安全厂商也需加强对跨平台恶意软件的逆向工程与行为分析,为业界提供更具针对性的防御方案。
总之,Lazarus集团通过PondRAT、ThemeForestRAT及RemotePE三重恶意软件组合,为网络攻击设计了一个分阶段、层层递进的作战体系,反映了当前高级威胁组织极高的狡诈与技术水平。随着新时代网络犯罪形态不断升级,各行各业必须提高安全意识,强化技术防护,做到未雨绸缪,方能有效遏制日益严峻的网络攻击趋势。 。
