卡巴斯基实验室分析揭示，拉扎罗斯集团正不断进化其攻击手段，通过“死亡笔记行动”利用虚假工作机会渗透国防、航空航天等行业。攻击中，恶意软件伪装成IT技能评估，通过木马化工具和复杂加载器，侧载如MISTPEN、RollMid等恶意软件。新型模块化恶意软件CookiePlus作为下载器，进一步执行恶意组件。为绕过检测，攻击者利用ISO文件传输，并使用ChaCha20加密通信。此行动表明，拉扎罗斯集团的攻击具备持久性和适应性，其武器库持续创新。

🧰 拉扎罗斯集团利用虚假工作机会，通过社交工程在LinkedIn等平台诱骗受害者执行恶意ISO文件，这些文件伪装成IT角色技能评估，实际包含木马化工具，如AmazonVNC.exe和UltraVNC Viewer的修改版本。

🛡️ 攻击链中，复杂的加载器如vnclang.dll被用于侧载恶意软件，如MISTPEN、RollMid和新发现的LPEClient，从而实现横向移动和进一步的有效载荷交付。这些加载器利用XOR密钥和复杂的解密技术来解压有效载荷。

🍪 新型模块化恶意软件CookiePlus是这次活动的核心，它是一个基于插件的下载器，能够获取和执行其他恶意组件。CookiePlus采用ChaCha20加密技术进行通信，并伪装成记事本++插件等公共工具，以逃避检测，使其活动难以被发现。

🚀 该组织通过压缩ISO文件发送恶意软件，这种文件比ZIP压缩文件更少受到检查，并混合使用木马工具和高级加载器，展示了其不断发展的攻击复杂性，表明该组织具有持久性和适应性。

卡巴斯基实验室（Kaspersky Labs）最近的一项分析显示，臭名昭著的拉扎罗斯集团（Lazarus Group）继续完善其战略，将旧战术与新恶意软件相融合，以创建先进而隐蔽的攻击链。这一行动被称为 “死亡笔记行动”（DeathNote Campaign）或 “梦想工作行动”（Operation DreamJob），主要利用虚假工作机会渗透到国防、航空航天、加密货币和核领域等行业。卡巴斯基研究人员指出：“Lazarus 组织一直在利用针对各行业员工的虚假工作机会传播其恶意软件。”在最近一次活动中，Lazarus 使用恶意归档文件伪装成 IT 角色的技能评估，向一家核相关组织的员工发送恶意软件。这些攻击混合使用了木马工具和高级加载器，展示了不断发展的复杂性。卡巴斯基发现的感染链突出了几个关键组成部分：木马化实用程序： AmazonVNC.exe 和 UltraVNC Viewer 等工具被修改为执行恶意有效载荷。TightVNC的木马化版本AmazonVNC.exe解密并执行Ranid下载器，以推进攻击链。复杂的加载器： 攻击者使用恶意 DLL（如 vnclang.dll）对恶意软件（如 MISTPEN、RollMid 和新发现的 LPEClient）进行侧载，从而实现横向移动和进一步的有效载荷交付。新型模块化恶意软件： CookiePlus 是这次活动中的一个突出表现，它是一个基于插件的下载器，旨在获取和执行其他恶意组件。CookiePlus 是 MISTPEN 的后继者，支持更多的执行选项，其行为与下载程序无异，这使得调查其全部功能具有挑战性。为了绕过检测，Lazarus 通过压缩 ISO 文件发送恶意软件，这种文件比 ZIP 压缩文件更少受到检查。受害者通过 LinkedIn、Telegram 和 WhatsApp 等平台上的社交工程被诱骗执行这些文件。一旦执行，恶意软件就会利用 XOR 密钥和复杂的解密技术来解压有效载荷。此外，CookiePlus 还利用 ChaCha20 加密技术进行通信，将其活动伪装成合法活动。“该组织一直将恶意软件伪装成记事本++插件等公共工具，以逃避防御。这种方法使该组织在发动后续攻击时能够持续不被发现。”“Lazarus 集团转移和进化其工具的能力说明了高级威胁行动者的持久性和适应性。”卡巴斯基总结说：“纵观其历史，Lazarus 集团只使用了少量模块化恶意软件框架，但引入 CookiePlus 等新工具表明他们的武器库正在不断创新。”