2014年11月24號上午發生的事情，已經被深深烙進了索尼影視娛樂公司的員工們的腦海里。在那一天，一起未知的網絡攻擊襲向了該公司的服務器，導致了諸多機密數據的泄露，也給該公司的聲譽造成了很大的損傷。對于攻擊者的身份，各方一直難以判定，直到卡巴斯基實驗室在今日深扒了一個名叫Lazarus的組織。

與卡巴斯基攜手參與調查的還有Novetta和AlienVault（被稱為Operation Blockbusters），Lazurus團隊被認為需要對入侵索尼影業、以及2013年攻擊韓國銀行等事件負責。

卡巴斯基實驗室表示，在臭名昭著的索尼影業泄密事件之后，其專家分析了參與攻擊的Destover惡意軟件的樣本，研究披露了數十起利用不同的惡意軟件樣本（但擁有諸多共同特征）進行網絡活動的線索。

在發現了這一新型惡意軟件之后，卡巴斯基得以打造出了可以預防同類威脅的解決方案。那么，安全專家們又是如何發現和認定Lazarus團伙的呢？

因為這一團伙在積極地重復利用它們的開發出來的東西，從一款惡意程序中借來了代碼片段并用到另一款上。

其次，用于安裝不同惡意軟件的病毒生成器（droppers），其數據也都被保存在了一個受保護的ZIP壓縮文檔中，該密碼同被用于許多不同的活動中（事實上是被droppers硬編碼的）。

另外，犯罪分子用于在受感染的系統中擦拭自身出現痕跡的手段，也都出現了高度的一致性，從而讓研究人員們一眼就揪出了他們。

本次調查披露了Lazarus團伙還涉及軍事間諜活動，以及發起了針對金融機構、媒體電臺和制造型企業的攻擊，且多數受害者位于韓國、印度、中國、巴西、俄羅斯、以及土耳其。

這些犯罪活動打造出了Hangman（2014-2015）和Wild Positron（亦稱Duuzer,2015）之類的惡意軟件，后者也是“安全分析峰會”（Security Analyst Summit 2016）上討論的一個重點話題。

卡巴斯基與AlienVault Labs分享了這一調查結果，最終來自兩家公司的研究人員們決定攜手努力。當然，Lazarus Group的活動也被許多其它安全專家和企業所研究著。

比如作為“Operation Blockbuster”的一部分，Novetta就建立了一個用來發布調查結果的項目。

大家又是如何得知有關這些不法之徒的信息的呢？實際上，Lazarus Group打造的首款惡意軟件樣本，可以追溯到2009年。2010年的時候，新樣本的數量出現了大幅增長。

這一特征表明Lazarus Group是一個長期穩定的威脅，在2014-2015年間，該組織的‘生產力’達到了頂峰，并且在2016年依然活躍。

針對其活動時間的調查結果表明，該團伙的多數人應生活在東八區（GMT+8）或東九區（GMT+9），他們大約從午夜（00hrs GMT）開始工作，然后在凌晨3點（GMT）休息吃午飯。

此外可以清楚地知道，團伙成員屬于極端型的工作狂，每日工作時間長達15-16個小時。Lazarus儼然是業內多年來所知的“最勤勞”的團伙了。

另外一個有趣的觀察是，從Lazarus的樣本集來看，幾乎有2/3的網絡犯罪可執行文件都包含了典型韓語用戶的元素。目前這一調查仍在繼續，感興趣的網友可以前往Secutrlist深入了解一下。