Posted in威胁分析
2025年6月:Lazarus组织针对阿联酋EDGE集团相关人员的攻击事件
概述
瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件,攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段,向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制:当受害者执行宏代码后,系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性,同时在后台静默执行恶意负载(包括多个恶意DLL组件),建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵,使受害者误认为仅打开了一个普通的商务文档。
基于攻击技术特征分析和威胁情报关联,本次事件与知名APT组织Lazarus(又称APT-C-26、T-APT-15)存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体,被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称,攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球,重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。