疑似Lazarus组织针对双平台的攻击活动披露

概括

Lazarus APT组织是一个长期活跃的组织，因为2014年攻击索尼影业而开始受到广泛关注，该组织早期主要针对韩国，美国等国家的政府机构进行攻击活动，以窃取情报等信息为目的。自2014年后，该组织开始针对全球金融机构，加密交易机构等为目标，进行敛财活动。

近期，奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中，捕获一例利用心理测验为诱饵的Lazarus攻击样本，该样本通过宏释放powershell脚本执行，从而控制受害者计算机。奇安信威胁情报中心通过溯源关联，捕获另一例针对macOS的攻击样本，并在发现此次攻击活动的第一时间通过社交媒体进行预警。

样本分析

诱饵文档

本次攻击活动攻击者使用心理测验相关内容为诱饵，诱导用户启用宏

启用宏需点击笑脸，从而执行恶意宏代码

之后将powershell代码写入到%temp%目录下并通过powershell.exe执行

Powershell

释放的powershell脚本是一个后门，硬编码了三个c2

执行后与内置的c2服务器进行通信，若通信失败，则休眠一段时间尝试连接其他c2

从c2获取命令执行，根据不同的命令执行不同功能

支持的命令功能如下表所示

获取本机计算机名，ip地址，系统版本号等信息上传

通过cmd执行c2命令

更新c2服务器配置

上传指定文件

下载文件保存到指定位置

Macos Backdoor

经关联分析，奇安信威胁情报中心关联使用相同c2针对MacOS 平台的攻击样本，样本基本信息如下

该文件包含一个正常的.Flash Player文件，而恶意程序隐藏在Flash Player中

运行后首先从偏移1340，截取大小0x6c74的数据保存到.FlashUpdateCheck

之后写入配置文件com.adobe.macromedia.flash.plist，并通过launchctl load加载配置文件，从而使配置文件生效实现.FlashUpdateCheck的自启动

使用chmod命令提升.FlashUpdateCheck权限

该文件具有后门功能，功能与powershell后门基本一致。同样硬编码了三个c2

运行后与c2通信获取c2指令

之后根据c2指令执行不同功能

功能列表如下：

溯源关联

通过对本次攻击活动的后门以及ttps分析，奇安信威胁情报中心判断本次攻击活动的幕后黑手是Lazarus。

相似的后门

Powershell基本一致

Macos 样本主要流程基本一致

且c2在奇安信威胁情报大数据平台（ti.qianxin.com）已打上Lazarus标签

综上，本次捕获的攻击样本应该是出自臭名昭著的Lazarus APT团伙

总结

Lazarus团伙是一个长期活跃的APT组织，武器库十分强大，拥有对多平台进行攻击的能力，近年来，该团伙多次被安全厂商披露，但从未停止进攻的脚本，反而越发活跃，攻击目标也越发广泛。同时，该团伙也多次针对国内进行攻击活动，企业用户在日常的工作中，切勿随意打开来历不明的邮件附件。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

IOC

6850189bbf5191a76761ab20f7c630ef

a8096ddf8758a79fdf68753190c6216a

hxxps://crabbedly.club/board.php

hxxps://craypot.live/board.php

htxxps://indagator.club/board.php

参考链接

https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。