朝鲜APT组织Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构的首要威胁。该组织自 2009 年以来一直处于活跃状态,且据推测其早在2007年就已经涉足摧毁数据及破坏系统的网络间谍活动。根据调查显示,该组织还与2014年索尼影业遭黑客攻击事件以及2016年孟加拉国银行数据泄露事件有关。
最近,安全公司McAfee 和Palo Alto Networks的安全专家都表示,Lazarus似乎将黑手伸向了移动应用程序领域。
一款名为“ ”的应用程序被上传到了Google Play商店,用于模仿由GODpeople(一家位于韩国首尔的安卓应用程序开发商)开发的韩语版圣经应用程序。实质上它包含了一个可执行和可链接格式(ELF)的后门文件,允许攻击者完全控制受感染的设备。
正是由于这个文件将它与Lazarus联系在了一起,因为这个文件与Lazarus在之前活动中使用的几个文件十分相似。另外,该应用程序所使用的命令和控制(C&C)服务器列表包括先前与Lazarus关联的IP地址。
而Palo Alto Networks的安全专家更是指出,这起活动似乎针对了韩国的三星移动设备用户。
Palo Alto Networks目前已收集了足够充足证据,将该恶意应用程序与Lazarus对SWIFT银行系统和索尼影业发起的攻击联系起来。