朝鲜黑客在有针对性的活动中部署新的MagicRAT恶意软件

被称为Lazarus集团的多产朝鲜民族国家行为体与一个名为法官。

Cisco Talos在与黑客新闻分享的一份报告中称，之前未知的恶意软件被部署在受害者网络中，该网络最初通过成功利用面向互联网的VMware Horizon服务器而被入侵。

Talos研究人员Jung soo-An、Asheer Malhotra和Vitor Ventura说：“虽然是一个相对简单的RAT能力，但它是借助Qt框架构建的，唯一的目的是使人类分析更困难，并减少通过机器学习和启发式进行自动检测的可能性”。

Lazarus集团，也被称为APT38、黑暗首尔、隐藏眼镜蛇和锌，指的是朝鲜政府采取的一系列金融动机和间谍驱动的网络活动，作为规避对该国实施的制裁并实现其战略目标的手段。

与其他伞式集体Winnti和MuddyWater一样，国家赞助的黑客集体也有“衍生”团体，如Bluenoroff和Andariel，它们专注于特定类型的攻击和目标。

虽然Bluenoroff小组专注于攻击外国金融机构和实施货币盗窃，但安达瑞尔致力于追击韩国组织和企业。

“Lazarus开发了自己的攻击工具和恶意软件，可以使用创新的攻击技术，工作非常有条不紊，而且需要时间，”网络安全公司NCC Group在一份详细介绍威胁行为体的报告中说。

“特别是，朝鲜的方法旨在避免安全产品的检测，并尽可能长时间保持在黑客系统中不被发现”。

最新加入的广泛恶意软件工具集表明，该集团有能力根据其目标和运营目标采用多种战术和技术。

MagicRAT是一种基于C++的植入物，旨在通过在受损系统上创建计划任务来实现持久性。它还“相当简单”，因为它为攻击者提供了一个远程shell来执行任意命令和执行文件操作。

MagicRAT还能够启动从受感染主机上的远程服务器检索的额外有效负载。从命令和控制（C2）服务器检索的一个可执行文件采用GIF图像文件的形式，但实际上是一个轻量级端口扫描仪。

此外，发现与MagicRAT相关的C2基础设施包含并服务于较新版本的TigerRAT，这是一个以前属于安达瑞尔的后门，旨在执行命令、截图、记录击键和获取系统信息。

最新版本中还包含了一个USB转储功能，允许对手搜索具有特定扩展名的文件，同时为实现网络摄像头的视频捕获奠定基础。

“在野外发现MagicRAT表明了Lazarus的动机，即快速构建新的定制恶意软件，与TigerRAT等之前已知的恶意软件一起使用，以针对全球组织，”研究人员说。