1、Operation North Star：利用航空航空职业为诱饵的攻击活动分析

由于经济不景气，求职者越来越多，一些网络攻击组织便开始伪装成职位需求相关信息开展攻击活动，据McAfee高级威胁研究团队监测发现，近期，针对航空航天和国防行业的恶意攻击有所增加。此刻攻击活动疑似出自Hidden Cobra之手，该组织与Lazarus,Kimsuky,KONNI,APT37存在关联，这些攻击活动将诱饵伪装成全球领先的国防承包商职位信息，对具有相关技能和工作经验的人群发动攻击，这些攻击活动通常采用模板注入从远程服务器加载带有恶意宏的文件执行，之后利用宏代码释放执行后门，从而控制受害者计算机，以达到窃取敏感信息的目的。

2、Lazarus利用MATA框架分发VHD勒索软件

Lazarus APT组织是疑似具有东北亚背景的APT团伙，该组织攻击活动最早可追溯到2007年，其早期主要针对韩国、美国等政府机构，该组织以窃取敏感情报为目的。自2014年后，该组织开始针对全球金融机构、虚拟货币交易所等为目标，进行以敛财为目的的攻击活动。

近日，卡巴斯基监测发现Lazarus组织开始投放勒索软件，攻击者通过存在漏洞的VPN网关进行入侵，获取管理员权限，并在目标系统部署MATA(Dacls)后门，从而能够接管Active Directory服务器。然后，将VHD勒索软件部署到网络中的所有计算机。勒索软件是通过一个用Python编写的下载器进行安装的，整个感染历时10小时。VHD勒索软件曾在2020年3月份被公开披露过，但是研究人员掌握的数据表明VHD勒索软件不是商用的现成产品，而是由Lazarus所有和运营，Lazarus是MATA框架的唯一所有者，而VHD通过MATA框架进行部署。

3、Lazarus 针对MacOS的四类恶意软件分析

卡巴斯基近期公开披露了Lzarus组织针对三平台的恶意框架MATA(Dacls)，sentinelone研究人员监测发现，除MATA恶意框架外，还发现其他三种类型的MACOS平台恶意软件，分别是采用Swift编写的伪造OTP样本，在恶意软件中嵌入了开源MinaOTP以隐藏其恶意代码，采用Objective-C编写伪装成加密货币交易平台的恶意软件，除此之外，还发现OSX.Casso后门，该后门本身是Lazarus相关的较旧可执行文件的变体，其开始包含反向外壳，但是并没有包含硬编码的持久性LaunchAgent或LaunchDaemon。近期新发现的名为WatchCat的恶意家族，该后门与该组织较早的后门程序存在一些重叠，但是其使用WebShell和crc32表解密配置文件。

4、Tallium组织攻击活动分析

近日，韩国安全厂商ESTsecurity发现Fake Striker APT活动与黑客组织Tallium有直接关系。微软于2019年12月18日向弗吉尼亚联邦法院提起针对该组织的投诉，并于12月30日在其官方博客上发布了相关信息，揭露该组织的主要攻击目标为政府官员，智囊团研究人员，大学职员以及人权团体。据ESRC分析，该组织正伪装成韩国的主要机构或社会官员进行网络攻击。脱北者，朝鲜研究人员和朝鲜人权组织也在其被攻击目标中。该组织在韩国进行攻击的典型方法为将恶意代码直接插入韩国常用的hwp和Word(doc)等文档文件中，然后将其直接发送到每个受害者者电子邮件中。通过未授权访问，将正常电子邮件正文中的附件替换为恶意附件，然后重新发送。

5、Blue Mockingbird组织针对印度服务器的挖矿行动

自19年以来，网络犯罪组织正以惊人的速度传播挖矿恶意软件，一般利用公开漏洞对服务器进行攻击，以传播挖矿软件，服务由于其具备挖矿的高性能配置而受到黑客的青睐。

近期，据Seqrite安全研究人员监测发现，印度至少有上百万服务器收到挖矿恶意软件的影响，在一些攻击行动中，黑客通过CVE-2019-18935完成初步攻击，进而释放执行Powershell下载器，恶意软件利用多种技术实现持久性，并使用随机名称创建多个计划任务。并且在过程中使用了COR_PROFILER COM劫持执行恶意DLL。研究人员在每台感染服务器上都发现了多个拥有相同哈希，但名称不同的XMR矿工 dll文件。矿工进入网络后，会进行横向移动，以感染网络中的更多机器。研究人员分析，此次攻击活动与Blue Mockingbird存在联系。