臭名昭著的威脅行為者 Lazarus 長期以來一直將與加密貨幣相關(guān)的企業(yè)作為攻擊目標(biāo)。在監(jiān)控該威脅行為者的活動時(shí)，卡巴斯基注意到他們在一個(gè)案例中使用了一個(gè)顯著更改的惡意軟件。2019 年 10 月中旬，我們發(fā)現(xiàn)了一份上傳至 VirusTotal 的可疑文件。

該惡意軟件作者使用了與加密貨幣業(yè)務(wù)相關(guān)的誘餌文檔。其中包括一份關(guān)于特定加密貨幣購買的調(diào)查問卷，一份關(guān)于特定加密貨幣的介紹，以及一家比特幣挖礦公司的介紹。這是 DeathNote 攻擊活動首次發(fā)威，其攻擊目標(biāo)是位于塞浦路斯、美國、中國臺灣和中國香港的從事加密貨幣業(yè)務(wù)的個(gè)人和企業(yè)。

DeathNote 集群的時(shí)間線

然而，在 2020 年 4 月，卡巴斯基看到 DeathNote 的感染媒介發(fā)生了重大轉(zhuǎn)變。研究顯示，DeathNote 集群被用于攻擊東歐與國防工業(yè)有關(guān)的汽車和學(xué)術(shù)組織。

此時(shí)，該威脅行為者將所有與國防承包商和外交相關(guān)的工作描述相關(guān)的誘餌文件都換掉了。除此之外，該威脅行為者還進(jìn)一步優(yōu)化了其感染鏈，在其武器化的文檔中使用遠(yuǎn)程模板注入技術(shù)，并使用包含木馬的開源 PDF 查看軟件。這兩種感染方法都會導(dǎo)致相同的惡意軟件感染（DeathNote下載器），它負(fù)責(zé)上傳受害者的信息。