概述

  瑞星威胁情报平台于近期捕获到一起Lazarus组织的攻击事件，攻击者发送伪装成FCCCall的安装包给从事加密货币行业的面试者，FCCCall的全称是FreeConferenceCall，是一款音频和视频会议服务的软件，当用户使用这个伪造的安装包安装FCCCall之后，同时会被植入一个恶意软件，该软件会窃取多个浏览器的信息，并下载一个Python程序包和下一阶段的恶意Python文件，使用Python程序执行恶意脚本文件后会下载窃取浏览器数据的Python脚本文件和NukeSped后门。此次攻击事件与Lazarus组织之前针对加密货币从业者攻击事件具有高度的相似性，因此将本次捕获到的攻击行动归属于Lazarus组织。

  Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织，该组织又被称为APT-C-26、T-APT-15等，是现今最活跃的威胁组织之一。该组织疑似来自朝鲜，具有国家背景。其除了擅长信息盗取，间谍活动，还会蓄意破坏获取经济利益，攻击的国家包括中国，德国，澳大利亚，日本等，涉及的领域有航空航天、政府、医疗、金融和媒体等。

概述

  瑞星威胁情报平台于2022年3月捕获到一起疑似针对军工领域相关从业人员的攻击事件。捕获到的样本伪装成知名企业洛克希德马丁公司的招聘文件，以工作机会为主题诱骗军工领域的相关用户。该文件内容被设置为乱码，以此欺骗用户通过启动文件的宏程序解码文件内容，从而释放出恶意程序。其行为具有高隐蔽性，难以被用户发现。根据详细分析，判定此次攻击活动是由Lazarus组织所为，同时通过关联分析，发现此次事件是该组织自2021年以来一系列攻击活动的延续。

概述

  瑞星威胁情报于2021年10月12日捕获到一起疑似威胁组织Lazarus发起的攻击事件，攻击者可能利用钓鱼邮件等方式向目标投递名为New Profits Distributions_MATT.zip压缩包，在New Profits Distributions_MATT.zip压缩包内有两个文件：New Profits Distributions.docx和Password.txt.lnk。因为文档New Profits Distributions.docx被攻击者加密，所以需要用户点击Password.txt.lnk获取密码进行解密操作。又因为Password.txt.lnk快捷方式文件指向的目标为一段恶意JS代码，所以用户获取密码的同时也会被该JS代码所释放的恶意程序远程控制。

概述

  近日，瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件，通过分析发现，攻击者利用钓鱼邮件等方式投递名为安全状态检查.zip的压缩包文件，其主题为:信息安全技术 信息系统安全等级保护实施指南，以此来诱使与中国信息安全相关的政府部门或企业上钩，一旦中招，电脑将被攻击者远程控制，执行任意代码并盗取重要数据信息。