概述

Lazarus APT组织是疑似具有东北亚背景的APT团伙,该组织攻击活动最早可追溯到2007年,其早期主要针对韩国、美国等政府机构,以窃取敏感情报为目的。自2014年后,该组织开始针对全球金融机构、虚拟货币交易所等为目标,进行以敛财为目的的攻击活动。

据公开资料显示,2014年索尼影业遭黑客攻击事件,2016年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等时间都出自Lazarus之手。

近几个月来,Lazarus组织常用航天,核工业,船舶工业等专业领域头部企业招聘信息为诱饵进行攻击活动,四月中旬红雨滴团队曾披露过《Lazarus APT组织使用西方某航空巨头招聘等信息针对美韩的定向攻击事件分析》,该活动后续被某安全厂商归为北极星行动(OperationNorthStar),近日,奇安信威胁情报中心红雨滴团队在日常的高价值样本挖掘过程,又捕获了一例该类型攻击样本,此次攻击活动中,Lazarus组织以通用(GDMS)公司高级业务经理招聘为诱饵,通过恶意宏释放执行后续Payload。红雨滴团队在捕获该样本的第一时间通过社区进行预警。

除此之外,最近几个月我们检测到在Lazarus也在对其Crat木马架构进行快速迭代,目前已经相当成熟。

样本分析

Operation NorthStar新活动

文件名

MD5

类型

GDLS_2020090392828334.doc

8ed89d14dee005ea59634aade15dba97

宏文档

近期捕获的样本采用word本体嵌套一层word的数据,通过宏进行自身数据读取释放运行招聘文档本体,初始文档无法查看诱饵内容,从而诱导受害者启用宏。

若启用宏后,第一层宏文档将在%temp%目录释放同名第二阶段带诱饵文档释放打开的第二阶段文档以GDMS招聘信息为诱饵,通用动力任务系统公司涉及国防和航空航天,

样本在文字末尾通过白色图形遮盖了招聘文档和控件,字符串采用白色进行隐藏。

恶意宏如下所示。

宏与2018年Lazarus APT组织所使用的部分宏代码一致

在HOMEPATH\Videos下释放名为localdb.db的Loader程序,并在启动目录下释放Recent.lnk,实现持久化。

Lnk命令行如下

调用localdb.db的导出函数ntSystemInfo,参数为“qBzZN42AyWu6Qatd”

文件名

MD5

类型

localdb.db

35545d891ea9370dfef9a8a2ab1cf95d

PE

运行过程中会比较参数是否正确

如果正确则会解密出一段PE,并进行内存加载

内存加载的PE疑似为Lazarus APT组织新型Downloader,核心代码在创建的线程中

解密字符串

解密的字符串如下:

之后进入下载者的流程

获取本机相关信息以“|”相连接

获取正在运行的进程信息

收集的信息如下:

对上述信息进行加密后再进行Base64编码,发送到远程服务器上获取后续

https://www.dronerc.it/shop_testbr/Adapter/Adapter_Config.php

https://www.fabioluciani.com/ae/include/constant.asp

遗憾的是我们没有获取到后续的木马,如果下载到了后续,则会进行解密操作,之后内存加载。

Crat木马

Crat最早出现于今年五月份,Lazarus Group针对韩国证券公司进行APT攻击的活动,由于后门的PDB中存在“Crat Client”的字符串所以将其命名为Crat,从五月份至今,我们一直在对Crat进行跟踪,发现经过了几个月的迭代,目前该木马架构已经较为成熟。

其早期样本中存在大量的调试字符串,功能没有呈现出模块化的趋势

代码中出现了大量的调试字符串

创建的互斥量如下:

在近期捕获的Crat样本中发现已经开始模块化,管道模块、信息收集模块、屏幕监控模块、键盘记录模块、持久化模块等

代码结构发生了细微的改变,调试字符串已经被删除,相关样本及其C2如下:

MD5

C2

2a9e49fc80fe5124ac98ff5b874fb4d4

www.advertapp.me/user/invite.php?ts=

6dafaabebf243e1ad2e5b49178230eb6

www.publishapp.co:443/update/check.php?ts=

11eb80efbf659d7a91bd0e1281d01443

www.loonsaloon.com/wp-content/plugins/revslider/hello.php

a3e3886ae43c6e67acf06d8041d8f4d2

www.moonge.cc

总结

2020年以来,疫情肆虐全球,同时网络空间的攻击活动也越发频繁,近期,东亚形势备受关注,而具有该国背景的APT组织近期也活动频繁。

奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

IOC

MD5

8ed89d14dee005ea59634aade15dba97

35545d891ea9370dfef9a8a2ab1cf95d

2a9e49fc80fe5124ac98ff5b874fb4d4(Crat)

6dafaabebf243e1ad2e5b49178230eb6

11eb80efbf659d7a91bd0e1281d01443

a3e3886ae43c6e67acf06d8041d8f4d2

C2:

https://www.dronerc.it/shop_testbr/Adapter/Adapter_Config.php

https://www.fabioluciani.com/ae/include/constant.asp

www.advertapp.me/user/invite.php?ts=

www.publishapp.co:443/update/check.php?ts=

www.loonsaloon.com/wp-content/plugins/revslider/hello.php

www.moonge.cc

参考链接

【1】 https://blog.alyac.co.kr/3018

【2】 https://twitter.com/RedDrip7/status/1303186209158492160

【3】 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。