DeathNote キャンペーンを追跡して Lazarus グループを追跡する from securelist.com
security summary
もう 1 つの感染方法は、インストーラーを実行し、インジェクターとバックドアを作成して Windows サービスに登録します。
これらの感染方法はどちらも、被害者の情報をアップロードし、C2 の裁量で次の段階のペイロードを取得する役割を担う、同じマルウェア (DeathNote ダウンローダ) を生成します。
最後に、このトロイの木馬化された PDF ビューアは、開かれた元のファイルをおとり PDF ファイルで上書きし、それを開いて被害者を欺き、マルウェアのペイロードを実装します。
さらに、2021 年 6 月初旬、Lazarus グループは、韓国の標的に対して新しい感染メカニズムを利用し始めました。
攻撃者はこのマルウェアを使用して、サイドローディング用の正当なファイルを含む追加のペイロードを埋め込みました。
DeathNote クラスターとその起源を追跡した結果、Lazarus グループがこのマルウェア株の原因であると判断しました。
コメント