概述

  瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件，攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段，向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制：当受害者执行宏代码后，系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性，同时在后台静默执行恶意负载（包括多个恶意DLL组件），建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵，使受害者误认为仅打开了一个普通的商务文档。

  基于攻击技术特征分析和威胁情报关联，本次事件与知名APT组织Lazarus（又称APT-C-26、T-APT-15）存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体，被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称，攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球，重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。

概述

  瑞星威胁情报平台于近期捕获到一起Lazarus组织的攻击事件，攻击者发送伪装成FCCCall的安装包给从事加密货币行业的面试者，FCCCall的全称是FreeConferenceCall，是一款音频和视频会议服务的软件，当用户使用这个伪造的安装包安装FCCCall之后，同时会被植入一个恶意软件，该软件会窃取多个浏览器的信息，并下载一个Python程序包和下一阶段的恶意Python文件，使用Python程序执行恶意脚本文件后会下载窃取浏览器数据的Python脚本文件和NukeSped后门。此次攻击事件与Lazarus组织之前针对加密货币从业者攻击事件具有高度的相似性，因此将本次捕获到的攻击行动归属于Lazarus组织。

  Lazarus组织是一个自2007年就开始对目标进行网络攻击的威胁组织，该组织又被称为APT-C-26、T-APT-15等，是现今最活跃的威胁组织之一。该组织疑似来自朝鲜，具有国家背景。其除了擅长信息盗取，间谍活动，还会蓄意破坏获取经济利益，攻击的国家包括中国，德国，澳大利亚，日本等，涉及的领域有航空航天、政府、医疗、金融和媒体等。

概述

  瑞星威胁情报平台于2022年3月捕获到一起疑似针对军工领域相关从业人员的攻击事件。捕获到的样本伪装成知名企业洛克希德马丁公司的招聘文件，以工作机会为主题诱骗军工领域的相关用户。该文件内容被设置为乱码，以此欺骗用户通过启动文件的宏程序解码文件内容，从而释放出恶意程序。其行为具有高隐蔽性，难以被用户发现。根据详细分析，判定此次攻击活动是由Lazarus组织所为，同时通过关联分析，发现此次事件是该组织自2021年以来一系列攻击活动的延续。

概述

  瑞星威胁情报于2021年10月12日捕获到一起疑似威胁组织Lazarus发起的攻击事件，攻击者可能利用钓鱼邮件等方式向目标投递名为New Profits Distributions_MATT.zip压缩包，在New Profits Distributions_MATT.zip压缩包内有两个文件：New Profits Distributions.docx和Password.txt.lnk。因为文档New Profits Distributions.docx被攻击者加密，所以需要用户点击Password.txt.lnk获取密码进行解密操作。又因为Password.txt.lnk快捷方式文件指向的目标为一段恶意JS代码，所以用户获取密码的同时也会被该JS代码所释放的恶意程序远程控制。