一、介绍

(1)摘要

在2020年6月至8月期间,ClearSky团队调查了一项极有可能来自于朝鲜半岛某国的攻击活动,并将其称为“Dream Job”。自今年年初以来,这个攻击活动一直很活跃,根据评估,它已成功地感染了以色列乃至全球的数十家公司和组织。其主要目标包括国防、政府公司以及这些公司的特定员工。在整个攻击活动中,朝鲜半岛某国“Lazarus”组织(又名HIDDEN COBRA)成功地通过“Dream Job”提供的服务来操纵目标,并将其发送给上述目标的员工。据称,“Dream Job”是代表美国一些最著名的国防和航空航天公司发出的,包括波音,麦克唐纳·道格拉斯和BAE。目标系统的感染和渗透是通过广泛而复杂的社会工程活动进行的,其中包括:侦察、创建虚拟的LinkedIn账号、向目标人的个人电子邮件地址发送电子邮件以及在电话上以及通过WhatsApp直接与目标进行持续对话。感染后,攻击者收集了有关公司活动以及其财务状况的情报,目的可能是试图从中窃取资金。这种同时开展间谍和资金窃取活动的情况也符合朝鲜半岛某国黑客组织独特的活动模式。

近几个月来,ESET和McAfee进行了调查,发现并报道该组织针对世界其他地区类似目标的攻击。这些报道的内容部分与本报告中介绍的攻击情形有一些重叠的部分。在本报告中,解释了如何以LinkedIn为主要攻击和操纵平台进行攻击,并揭示了“Dream Job”的主要感染情况,包括社工策略和攻击者使用的恶意软件。研究人员认为这是Lazarus组织今年的重要活动,它体现了该组织在对全球公司和组织进行渗透方面累积的丰富经验。根据研究人员的估算,该组织拥有着数十名研究人员和情报人员来进行持续的全球活动。

在2019年,研究人员发现了Lazarus在以色列发动袭击的证据,该组织试图渗透到以色列国防公司的网络中,自此以后,研究人员一直在监视该组织在以色列的活动。最近几个月,已经成功地找到了该组织在以色列活动的新迹象。本报告总结了研究人员在客户的帮助下进行的调查,之前的报告已经揭示并分析了该组织进行的几次攻击。在本报告中,介绍了活动的攻击场景,包括发送诱饵以下载文件,据推测其中包含知名机构(主要是航空业)的“Dream Job”的详细信息。

该报告的主要发现包括:

  • 社会工程学,介绍了目标感染的阶段以及用于控制目标感染的社会工程学策略。

  • 攻击工具的分析,研究了系列攻击活动中的三种感染情况:

    • 通过利用开源PDF阅读器中的恶意PDF文件进行感染,并对其进行了更改以适应攻击活动的需要。这是该方案首次公开披露。

    • 通过从受感染服务器下载的Dotm文件进行的感染将取代原始文件,并在目标计算机上运行恶意宏。

    • 通过包含恶意宏的Doc文件感染。

(2)Lazarus / Hidden Cobra —— 朝鲜半岛某国APT团体

Lazarus组织,也被称为APT37和HIDDEN COBRA,以及两个附属子组织Bluenoroff和Andariel,是朝鲜半岛某国的间谍组织,在入侵索尼后于2014年首次声名狼藉。这次入侵行动导致索尼的大部分IT基础架构都被删除,而且该公司的活动也中断了几个月。在2017年,该组织进行了历史上最重要的勒索软件攻击之一,“WannaCry”。这场攻击中断了全球数十家公司的工作,并造成数十亿美元的直接和间接损失。

但是,在此之前Lazarus的主要活动集中在在金融领域,该组织尝试了几次重大的网络金融窃取行动,而最著名的是对孟加拉国中央银行的攻击,盗取了8100万美元的资金。最初,该组织试图窃取高达9.5亿美元的资金,但此次攻击因攻击者的人为失误而受阻。本报告中另一起与Lazarus有关的攻击尤为有趣,它于2019年对Redbanc银行发起了攻击,而该银行是智利重要的金融清算基础设施。此次攻击的特征之一是与目标进行了直接接触,在此之前没有发现过Lazarus存在相关特征。攻击者冒充了人力资源招聘人员,并用西班牙语通过Skype与受害者进行了电话面试。除了发送网络钓鱼电子邮件之外,与受害者保持直接联系在民间间谍组织中相对很少见。但是,正如本报告将展示的那样,Lazarus采取了这种策略以确保其攻击成功。

在2019年,该组织似乎将重点从传统金融机构转移到了加密货币交易所,并开发了针对Mac和Linux操作系统的攻击性工具以及已知的Windows平台攻击工具。该组织最常用的攻击模式是伪造一家公司的官网,通过官网说明该公司从事加密货币交易。受害人可以在该页面上下载所谓的交易应用程序,当该应用程序安装在受害人的计算机上的同时,还会隐蔽安装了一个工具,用以收集受害人的信息。卡巴斯基将该攻击行为称为“ AppleJeus”。

该组织的各种工具及其意图吸引了美国情报和执法机构的注意,同时由于该组织与朝鲜半岛某国的隶属关系已经得到确认,与该组织有关的相关的工具已经被封杀。

二、间谍组织在“Dream Job”活动中使用的工具

在“Dream Job”的攻击活动中,使用了多种工具来感染目标并确保在被感染组织拥有“立足点”。攻击活动涉及到多种工具和社会工程学策略,这些策略使被攻击者打开了他们计算机上受感染的文件。

所使用的工具大部分都是由该组织自己开发的,并且还修改了一些合法的工具以适应组织的攻击目标。但是,当该组织无法激活和操作其自己的工具时,便转向了公开可用的工具,其中有些不是免费的。该组织使用的工具可以分为几组:

  1. 自行开发的工具——为该次活动单独创建的工具。在本次活动中,研究人员确定了几种这样的工具,其中大多数是旨在感染目标计算机的文件。以下是这些工具的分类列表:

    1. 攻击性工具:

      1. DBLL Dropper——适用于32位和64位系统的DLL文件。这些文件将安装恶意EXE,这是主要的RAT。之所以这样称呼它是因为它的扩展名大部分是.db。

      2. DRATzarus——从DBLL Dropper安装的自行开发的RAT。该文件与一个名为“ Bankshot”的组织开发的RAT有相似之处,并且允许攻击者安装不同的开源工具。

      3. LNK文件——允许攻击者在目标计算机上重新安装恶意软件并在目标计算机上保持其“立足点”的文件。

    2. 攻击文件:

      1. 在Doc和Dotm文件中嵌入恶意宏——一段恶意代码,安装了感染第二阶段所使用的三个文件。

      2. 具有恶意模板的Docx文件(模板注入)——一种文件,该文件从C2服务器(这是一个被破坏的站点)下载恶意文件,然后激活该文件(恶意文件),而不是原始Docx文件。

  2. 开源工具——组织在第五阶段使用的工具(当它无法在目标计算机上运行时使用)。这些工具用于收集目标上的高特权凭证,保持持久性等。其中一些工具是该组织购买的。

(1)根据MITRE ATT&CK分类的工具和进攻技术

下表中将组织使用的工具和技术分为两种类型:

  1. 入侵 —— 初始渗透阶段。在此阶段,攻击者通过社工吸引目标,以在工作中的目标计算机上打开受感染文件,而这一切都是在研究目标程序的同时进行的。

  2. 利用 —— 成功诱使目标打开受感染文件后,攻击者将安装RAT并在组织中站稳脚跟。

三、社会工程策略

(1)介绍

为了控制受害机器,Lazarus使用了社会工程技术。攻击者使用这种技术伪装成同事、合法服务提供商等,从而诱使用户披露私人帐户信息或授予攻击者访问机器或资源的权限,而无需发现和利用漏洞。Lazarus以专注于社会工程及其高级欺诈业务的发展而闻名。在2019年初,该组织通过与受害者建立直接联系,对Redbanc(智利的银行间网络,将该国所有ATM机连接在一起)进行了攻击。攻击者冒充大型企业的人力资源招聘人员,并通过电话甚至通过Skype用英语和西班牙语对受害者进行了工作面试。

研究人员发现了该组织在此次活动中使用的社工技术,旨在说服受害者使用其个人或公司计算机打开恶意文件。与Redbanc活动类似,发现了使用LinkedIn作为该活动进行的欺诈操作的一部分的证据。攻击者与受害者进行了长时间的交谈,持续了几天至几周,目的是提高其信誉度。

以下是该组织使用的所有社会工程技术的摘要:

  1. 建立虚构的任务,假冒成与潜在受害者背景相关的合法公司雇员(例如波音)。

  2. 通过在社交媒体上添加朋友来加入受害者的社交圈,从而建立信任和可靠性。

  3. 以英语进行主要联系,并与受害者进行交谈,交谈内容为谎称其伪造身份的公司正在进行招聘。

  4. 与受害者进行频繁的联系,有时持续数天甚至数周,包括电话和WhatsApp短信。在整个过程中还伴随着将恶意文件发送给受害者。

(2)用于建立可信攻击基础结构的社会工程方法

1)第一阶段——建立可靠的虚假账户

如上文所述,Lazarus集团通常使用虚假账户与受害者建立联系,称这些账户属于各公司的招聘专家,这些公司通常是与航空和国防部门有关联的公司,例如波音和麦克唐纳·道格拉斯。经过研究,在攻击活动中,Lazarus使用LinkedIn帐户——这是一个明智的选择,因为LinkedIn是求职者和招聘者最经常使用的商业和就业导向的社交平台。此外,在很多情况下,LinkedIn添加新朋友无需验证批准。意识低下和缺乏验证技术使攻击者很容易创建多个虚假账户,并给人一种印象,即攻击者的虚假账户是与被攻击者业务相关的社交圈的一部分。此过程也可以使用Twitter轻松进行。

建立虚构的个人资料后,攻击者会将来自他所服务的“虚假”公司(例如,波音公司)并将受害者所在的工作场所的朋友添加到其帐户中,以最大程度地提高信誉并最小化受害者的怀疑。虚假账户不是随意创建的——它们是根据广泛的侦查研究精心设计的,专门针对受害者并针对受害者设计行动。在调查过程中,能够识别出几个量身定制的虚假账户。在某些情况下,Lazarus攻击者创建了一个全新的人物形象,而在其他情况下,他们的帐户则基于在社交平台上找到的真实资料进行复制。在这些情况下,虚假账户根据真实个人资料完全复制以冒充真实存在的人。例如,可以根据真实的招聘人员的帐户创建一个模仿波音公司人力资源招聘人员的帐户,而简单的Google搜索将同时返回真实和虚假的帐户。与真实的个人资料不同,虚构的个人资料将在其URI中包含数字,而不是全名,如下面的Google搜索屏幕截图所示。

以下是为攻击以色列的国防公司员工而创建的个人资料的示例:

1. 波音公司招聘人员的真实资料:

Real: https://www.linkedin.com/in/danakurek

2. 伪造的个人资料,显然是在攻击者完成模仿之后被删除的

Fake: https://www.linkedin.com/in/dana-lopp-4132121b0

2)第二阶段——通过发布职位吸引受害者

一旦创建了可靠的虚假账户,此过程可能需要数周(甚至数月)的时间,攻击者使用该个人资料与受害者进行联系,谎称为他们提供该虚假账户所在公司正在招聘的工作岗位。攻击者让受害者开始应聘过程,并和受害者讨论职位详情。下面是模拟Lazarus攻击者与受害者通过LinkedIn的初始对应关系的模拟。

3)第三阶段——攻击者与受害者的交流

虚假账户背后的攻击者与受害人之间关于工作机会的交流可能需要数周甚至数月的时间。在攻击者开始进行联系时,在许多情况下,受害人并没有在寻找新工作或不愿辞职,因此合作并不是即时的。可能需要进行大量的说服工作才能使受害者查看为他们量身定制的职位。

与其他已知的攻击方法不同,在大多数攻击方法中,大部分精力都花在了主要联络人上,在这种攻击情况下,精力和资源都用于虚假账户创建和与受害者的通信中。即使受害人对攻击者提供的职位不感兴趣,攻击者也可以说服他在下定决心并做出最终决定之前详细阅读专门为他提供的合适职位的详细信息。该职位的空缺是量身定制的,因而提高了其可靠性,并减少了对针对性攻击的怀疑。这种谨慎的操作使攻击者能够与被攻击者进行详尽的协商,因为协商的阶段并不是危险的。

通信开始于社交媒体,但会迅速转到通过电话、WhatsApp或受害者的个人电子邮件进行,以确保自由裁量权。实际上,这个操作是希望能够绕过在受害者公司帐户上面的安全机制和软件。作为攻击过程的一部分,使用即时通信程序拨打电话(在本例中为WhatsApp)是该活动的独特做法,以前从未公开过。这是一个冒险的选择,也是一项高度敏感的操作,因为使用错误的俚语或口音会暴露整个操作。当受害人在其计算机上运行恶意文件时遇到技术问题时,也会在稍后阶段拨打电话。

攻击者和受害者之间通过WhatsApp进行的初始对应示例:

4)第四阶段——感染恶意软件

在获得受害者的信任并说服他去接收工作机会的详细信息之后,攻击者使用Dropbox的存储服务OneDrive向受害者发送文件。攻击者试图让受害者在其工作场所下载文件——通过研究其日常工作路线,并在精心选择的时间发送文件。请注意,在此阶段之前,攻击者避免使用目标公司的企业电子邮件帐户。受害者在访问存储服务器时会下载一个存档文件,从中提取恶意文件。文件名与前面讨论的公司和职位相匹配,攻击者向受害者证实他确实已经访问了该文件。

这个时候,攻击者会突然停止与受害者的所有通信。他们还会关闭和删除用于联系受害者的虚假账户。

四、总结和见解

(1)关于攻击者

  1. 研究人员认为“Dream Job”行动是2020年Lazarus的主要攻击活动:在过去的两个月中,有两份报告对朝鲜半岛某国黑客组织的活动进行了分析,报告中提到了存在针对求职者的攻击活动。这种攻击的基础主要是针对受害者背景进行社会工程。

  2. 双重任务——盗窃和间谍活动:Lazarus的头号标志是其进行双重攻击任务:资金窃取和间谍活动。这种作案手法是朝鲜半岛某国黑客组织独有的,因为其他国家行为者通常只关注间谍活动。朝鲜半岛某国黑客组织盗窃资金是为政府服务,是为核计划提供资金的一种方式。

  3. 先进的社会工程技术——该组织通过建立新的社会工程方式来增强其操作工具集。这种方式非常敏感,即使只有一个错误也可能导致操作失败。这与网络访问的攻击活动不同,在网络访问活动中,利用漏洞通常是比较安全的选择。新的社工方式包括建立数十个虚假账号,它们是广泛的侦察工作的产物。该组织在创建可信帐户方面投入了大量精力,并且在过去的几个月中,在此领域似乎已有了重大升级。该组织提高了英语水平,并且可以直接通过WhatsApp文本或电话与受害者交流。但是,必须注意的是,攻击者表现出的英语水平还远远不够完美。

(2)社会工程

  1. 保护家庭环境——远程工作的员工,尤其是由于COVID-19大流行而在隔离区工作的员工,对那些即使考虑到变化也希望保持相同安全级别的组织提出了新的挑战。研究人员估计通过远程工作引起的网络漏洞的攻击将继续并增加。

  2. 利用LinkedIn进行攻击——Lazarus一直利用面向招聘的社交网络作为攻击的载体。当涉及到新的职业机会时,LinkedIn是理想的攻击平台。它使攻击者可以将精力集中在特定目标上,并创建量身定制的个人资料,以诱使受害者与冒充者进行交流。由于LinkedIn的声誉好,LinkedIn的使用可以提高冒名顶替者的信誉度,并可以轻松收集有关受害人专业背景的信息。

  3. LinkedIn个人资料保护——研究人员认为LinkedIn尚未开发足够的安全机制保护其用户免受冒名顶替者帐户的侵害。令人震惊的是,模仿现有账户注册相同的个人资料进行仿冒,并不会对原始个人资料拥有者进行提醒。此外,在与已经注册的公司建立帐户关联或将帐户描述为属于招聘人员或人力资源专家后,不会启动验证过程。在欺诈的第一阶段,Lazarus以冒名顶替者的形象,建立了牢固的联系网络,从而建立了信誉。到目前为止,LinkedIn似乎是专业冒名顶替者的理想平台。

  4. 利用全球化企业——利用与数千名员工组成的大型国防公司的联系,攻击者可以更轻松地获得受害者的信任,因为没有人可以验证企业的所有员工。

  5. 绕过公司保护——通过员工的个人资料和私人电子邮件直接与员工联系,可以轻松绕过公司的网络保护,尤其是在公司计算机上同时使用两种环境时。它使Lazarus组织能够渗透到敏感的公司网络。

  6. 员工感染——单个受感染的员工可能导致整个公司网络的感染,因而该员工在公司中的职位及其职业声誉会遭到影响。

IOC

文件哈希

C2地址

原文链接:

https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf

编译:CNTIC情报组

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。