概述

  瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件，攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段，向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制：当受害者执行宏代码后，系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性，同时在后台静默执行恶意负载（包括多个恶意DLL组件），建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵，使受害者误认为仅打开了一个普通的商务文档。

  基于攻击技术特征分析和威胁情报关联，本次事件与知名APT组织Lazarus（又称APT-C-26、T-APT-15）存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体，被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称，攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球，重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。