朝鲜黑客使用WindowsUpdate和GitHub进行鱼叉式网络钓鱼攻击

　　Malwarebytes最近发现了由名为 Lazarus 的高级持续威胁组织 (APT) 实施的活动。该活动使用鱼叉式网络钓鱼攻击，其中包括伪装成洛克希德·马丁公司工作机会信息的恶意文件。作为其攻击方法的一部分，Lazarus 组织使用 Windows Update 和 GitHub 绕过安全软件。

　　Malwarebytes 从技术角度彻底打破了攻击。该活动的一部分使用 Windows 更新绕过安全检测机制。Malwarebytes 指出，这是对 Windows 更新的“巧妙”使用。

　　“这是 Lazarus 使用的一种有趣的技术，它使用 Windows 更新客户端运行其恶意 DLL 以绕过安全检测机制，”Malwarebytes 说。“使用这种方法，攻击者可以通过 Microsoft Windows Update 客户端执行其恶意代码......”

　　Lazarus 组织也在其攻击中使用了 GitHub。使用 GitHub 使安全产品很难区分恶意内容和合法内容。这是 Malwarebytes 第一次观察到该组织以这种方式使用 GitHub。

　　“我们很少看到恶意软件使用 GitHub 作为 C2，这是我们第一次观察到 Lazarus 利用它，”Malwarebytes 解释说。“将 GitHub 用作 C2 有其自身的缺点，但它是针对性和短期攻击的明智选择，因为它使安全产品更难区分合法和恶意连接。”

　　Lazarus 小组之前使用鱼叉式网络钓鱼策略来获取 COVID-19 研究。Lazarus 还与众所周知的对 Sony 的攻击和WannaCry 勒索软件攻击有关。