疑似Lazarus针对双平台的攻击活动披露

阅读量    55896 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

概述

Lazarus APT组织是一个长期活跃的组织,因为2014年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国,美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自2014年后,该组织开始针对全球金融机构,加密交易机构等为目标,进行敛财活动。

近期,奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中,捕获一例利用心理测验为诱饵的Lazarus攻击样本,该样本通过宏释放PowerShell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联,捕获另一例针对macOS的攻击样本,并在发现此次攻击活动的第一时间通过社交媒体进行预警。

样本分析

奇安信威胁情报中心红雨滴团队通过捕获到的针对Windows平台的恶意宏文档进行详细分析,并关联到该组织针对macOS平台攻击的恶意样本,针对这两个平台的样本详细分析如下。

诱饵文档

MD5 6850189bbf5191a76761ab20f7c630ef
作者 Windows User
修改时间 2019:10:22 02:53:14

本次攻击活动攻击者使用心里测验相关内容为诱饵,诱导用户启用宏:

启用宏需要点击文档中的笑脸图标,从而执行恶意宏代码:

恶意宏代码执行后会将恶意PowerShell代码写入到%temp%目录下并通过PowerShell.exe执行:

PowerShell脚本分析

释放的PowerShell脚本是一个后门,硬编码了三个C2地址:

执行后与内置的C2服务器进行通信,若通信失败,则休眠一段时间尝试连接其他C2地址:

最后从C2获取命令执行,根据不同的命令执行不同功能:

其支持的后门命功能如下表所示:

命令ID 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序C2等配置
18 通过cmd执行命令
20 上传指定文件
21 下载文件保存到指定文件
24 执行命令

部分恶意功能代码对应如下:

获取本机计算机名、IP地址、系统版本号等信息并上传:

通过CMD执行C2下发的命令:

更新C2服务器配置信息:

上传指定的文件:

下载文件保存到指定位置:

macOS Backdoor分析

经过关联分析,奇安信威胁情报中心关联到使用相同C2且针对macOS平台的攻击样本,样本基本信息如下:

文件名 Album.app.zip
MD5 a8096ddf8758a79fdf68753190c6216a

样本解压后是macOS上的app应用程序,目录结构如下:

当点击启动app应用程序时,系统会从info.plist中获取应用信息。info.plist文件包括图标,可执行二进制文件名称,加载界面文件等对应用程序的基本描述。该恶意Flash Player通过info.plist执行起来:

Flash Player运行后首先从自身偏移0x1340,截取大小0x6c74的数据保存到.FlashUpdateCheck:

之后写入配置文件com.adobe.macromedia.flash.plis,并通过launchctl load加载配置文件,从而使配置文件生效并实现.FlashUpdateCheck的自启动:

接着使用chmod命令提升.FlashUpdateCheck权限:

.FlashUpdateCheck文件相关信息如下:

文件名 .FlashUpdateCheck
MD5 bac54e7199bd85afa5493e36d3f193d2

该文件具有后门功能,功能与前述PowerShell后门基本一致,且同样硬编码了三个C2地址:

其运行后会与C2通信获取需要执行的指令:

之后根据C2指令执行不同的恶意功能:

对应的功能列表如下:

命令ID 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序C2等配置
18 通过bash执行命令
19 执行其他命令
20 上传指定文件
21 下载文件
24 通过system执行
25 通过system执行

 

溯源与关联

通过对本次攻击活动的后门代码以及TTPs(战术、技术及步骤)分析,奇安信威胁情报中心推测本次攻击活动的幕后黑手疑似Lazarus APT组织,相关分析如下。

相似的后门

本次攻击所使用的PowerShell脚本和Lazarus APT组织历史使用的脚本基本一致:

本次捕获到的恶意macOS 样本与Lazarus APT组织之前使用的样本的主要流程基本一致:

且C2在奇安信威胁情报大数据平台(ti.qianxin.com)已打上Lazarus APT的标签:

综上,本次捕获的攻击样本应该是出自臭名昭著的Lazarus APT团伙。

 

总结

Lazarus 团伙是一个长期活跃的APT组织,武器库十分强大,拥有对多平台进行攻击的能力,近年来,该团伙多次被安全厂商披露,但从未停止进攻的脚本,反而越发活跃,攻击目标也越发广泛。同时,该团伙也多次针对国内进行攻击活动,企业用户在日常的工作中,切勿随意打开来历不明的邮件附件。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

 

IOCs

MD5

6850189bbf5191a76761ab20f7c630ef

a8096ddf8758a79fdf68753190c6216a

URL

hxxps://crabbedly.club/board.php

hxxps://craypot.live/board.php

htxxps://indagator.club/board.php

 

参考链接

https://twitter.com/RedDrip7/status/1186562944311517184

https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多