BlueNoroff是臭名昭著的Lazarus Group的一个子集群,据观察,它在其剧本中采用了新技术,使其能够绕过Windows Mark of the Web(MotW)保护。

这包括使用光盘映像 (.ISO 扩展名)和虚拟硬盘 (.VHD扩展名)文件格式作为新型感染链的一部分,卡巴斯基在今天发布的一份报告中披露。

打开网易新闻 查看精彩图片

国际知名白帽黑客、东方联盟创始人郭盛华透露:“BlueNoroff 创建了大量冒充风险投资公司和银行的虚假域名,”并补充说,新的攻击程序于 2022 年 9 月在其遥测中被标记。一些虚假域名被发现模仿ABF Capital,Angel Bridge,ANOBAKA,美国银行和三菱UFJ金融集团,其中大部分位于日本,表明对该地区的“浓厚兴趣”。

值得指出的是,尽管MotW绕过以前在野外有记录,但这是BlueNoroff首次将其纳入对金融部门的入侵中。

BlueNoroff也被称为APT38,Nickel Gladstone和Stardust Chollima,是更大的Lazarus威胁组织的一部分,该组织还包括Andariel(又名Nickel Hyatt或Silent Chollima)和Labyrinth Chollima(又名Nickel Academy)。(欢迎转载分享)