安天CERT发现一起针对韩国的攻击活动,经过分析安天将其关联到Lazarus组织。此次活动中,Lazarus组织使用多阶段下载工具,并通过Dropbox获取C2地址,加大攻击载荷获取难度,同时样本中存在检测指定的杀软组件以及沙箱的行为,干扰分析。样本还利用fodhelper.exe绕过UAC提升恶意进程的权限,通过进程注入的方式以及更改Windows Defender的排除列表使攻击活动更难被发现。
安天CERT发现一起针对韩国的攻击活动,经过分析安天将其关联到Lazarus组织。此次活动中,Lazarus组织使用多阶段下载工具,并通过Dropbox获取C2地址,加大攻击载荷获取难度,同时样本中存在检测指定的杀软组件以及沙箱的行为,干扰分析。样本还利用fodhelper.exe绕过UAC提升恶意进程的权限,通过进程注入的方式以及更改Windows Defender的排除列表使攻击活动更难被发现。