据外媒报道,入侵Redbanc的嫌疑人是一个名为Lazarus Group(又称Hidden Cobra)的黑客组织,该组织与朝鲜政府有关,是目前最活跃、最危险的黑客组织之一,过去几年的主要攻击目标为银行、金融机构和加密货币交易所。

Lazarus最近发动的一次攻击在2018年12月底,但直到上周,智利参议员Felipe Harboe在推特上指责Redbanc未向公众告知其安全漏洞,这件事才引起公众注意。Redbanc之后承认了此次黑客攻击事件的存在,但声明中没有提到相关细节。

智利科技新闻网站trendTIC调查显示,该事件非常严重。据称,此次黑客攻击的源头为LinkedIn(全球最大职业社交网站,是一家面向商业客户的社交网络)上的一则招聘广告,Redbanc的员工申请了另一家公司招聘开发人员的岗位。这家公司正是Lazarus Group的伪装,他们知道自己钓到了大鱼。Lazarus Group通过Skype电话联系了这位Redbanc员工,并用西班牙语进行了面试。

在面试中,Lazarus Group要求Redbanc员工下载并安装运行一个名为ApplicationPDF.exe的文件,称这是一个简化招聘流程并生成标准申请表的程序。

根据Flashpoint研究主管VitaliKremez的分析,下载该文件即下载并安装了PowerRatankba。根据Proofpoint(一家网络安全公司)在2017年12月发布的一份报告,PowerRatankba是一款与Lazarus Group黑客组织有关的恶意软件。

这个恶意软件收集了Redbanc员工工作电脑的信息,并将其发送回远程服务器。收集到的信息包括电脑的用户名、硬件和操作系统细节、代理设置、当前进程列表(如果受感染的主机打开了RPC和SMB文件共享)及RDP的连接状态。黑客能通过这些信息知道感染了什么计算机,然后决定是否要以更具侵入性的PowerShell脚本进行下一步操作。

Redbanc事件说明,一个员工点击错误的链接或运行错误的文件会导致重大的安全漏洞;一台被入侵的电脑会损坏整个网络。

此前,美国发布了一份起诉书,指控Lazarus Group黑客试图从智利银行(Banco de Chile)窃取资金。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。