1 概述
Lazarus 組織是疑似具有國家背景的境外大型 APT 集團組織,該組織擅長使用社會工程學方案針對政府、科研、金融、航空、加密貨币等機構進行定向攻擊活動,竊取重要情報資訊及擷取經濟利益是其主要目的。
微步情報局近期通過威脅狩獵系統監測到 Lazarus 組織針對航空業及安全研究人員的定向攻擊活動,分析有如下發現:
- 攻擊者僞裝美國“洛克希德馬丁”航空公司招聘文檔,向目标投遞誘餌文檔進行攻擊;
- 所投遞文檔最終加載執行惡意後門子產品,實作對目标主機的遠端控制;
- 同時還使用相同的文檔模闆制作 Google 公司的招聘誘餌文檔進行攻擊活動;
- 攻擊者修改開源項目 NppShell 開發木馬,可以逃避部分安全軟體檢測;
- Lazarus 複用以往攻擊手法,修改開源 SumatraPDF 閱讀器進行攻擊;
- 此外,該組織将惡意元件捆綁到 IDA Pro 安裝包程式針對安全研究人員進行攻擊;
- 微步線上通過對相關樣本、IP 和域名的溯源分析,提取多條相關 IOC ,可用于威脅情報檢測。微步線上威脅感覺平台 TDP 、本地威脅情報管理平台 TIP 、威脅情報雲 API 、網際網路安全接入服務 OneDNS 、主機威脅檢測與響應平台 OneEDR 、威脅捕捉與誘騙系統 HFish 蜜罐等均已支援對此次攻擊事件和團夥的檢測。
2 詳情
Lazarus 使用模闆注入的手法精心僞造相關公司招聘文檔,這在該組織以往的攻擊活動中經常出現,在此次攻擊活動中,我們看到攻擊者冒充美國“洛克希德馬丁”航空公司及 Google 公司向目标發送相關誘餌文檔。
僞裝“洛克希德馬丁”航空公司的誘餌招聘文檔
僞裝Google公司的誘餌招聘文檔
同期還修改開源 PDF 閱讀器,向目标發送釣魚文檔。
Lazarus修改的PDF閱讀器
此外,該組織還将惡意元件捆綁到 IDA Pro 安裝包程式,對安全研究人員進行定向攻擊,其主要目的可能為竊取安全研究人員手中的高價值 0Day 漏洞,用以擴充該組織軍火庫。
3 樣本分析
3.1 僞裝“洛克希德馬丁”航空公司的招聘文檔
相關樣本以美國航空公司“洛克希德馬丁”的職位描述資訊為主題作為誘餌文檔。
僞裝航空公司的招聘文檔
該樣本使用模闆注入的手法從遠端伺服器加載惡意模闆檔案。
URL:https://mantis.linkundlink.de/logs/officetemplate.php?templateID=3535
誘餌文檔中的模闆注入
分析該樣本時,伺服器已無法正常響應,但根據關聯資訊顯示,最終應加載一個dll 後門子產品,該子產品為經過開源項目 Notepad++ 中的子產品 NppShell 修改而來,其惡意流程在導出函數 DllGetFirstChild 中。
後門子產品的導出表
該子產品運作必須傳入帶有 NTPR 字樣的指令行參數,進入執行流程後将會檢查參數格式并解密,實際執行時傳入的參數為:
| NTPR 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 |
對指令行參數解密出的 C2 位址如下:
| https://mante.li/images/draw.php |
| https://bmanal.com/images/draw.php |
| https://shopandtravelusa.com/vendor/monolog/monolog/src/Monolog/monolog.php |
| https://industryinfostructure.com/templates/worldgroup/view.php |
之後收集包括主機網絡環境、主機名、使用者名、程序清單,使用 RtlCompressBuffer 進行壓縮。
後門子產品收集的主機資訊
以 POST 方法将上述主機資訊上傳至 C2 伺服器,并接收傳回資料。
從伺服器下載下傳資料
從傳回的 html 格式資料提取 payload 資料。
提取payload資料
經過異或解密,響應伺服器遠端指令。
| 記憶體加載執行PE子產品 | |
| 1 | 下載下傳執行exe子產品 |
| 2 | 下載下傳執行dll子產品 |
| 3 | 記憶體中執行shellcode |
響應伺服器遠端指令
在分析過程中發現另外一個同類樣本,使用類似的誘餌文檔(ef2d3e488b781a7c6144afa8fc8ba2b6d085ca671100d04686097f3b4dd2ed42)加載木馬子產品,其會連接配接一個内網位址進行模闆加載。
URL:http://10.10.130.129:4080/down.php?id=2383
誘餌文檔中加載模闆
而釋放的木馬子產品同樣為使用開源項目 NppShell 修改,在分析樣本時,我們觀察到樣本在 VirusTotal 的檢出率非常低,表示攻擊者借用此種手法逃避了部分安全軟體檢測。
木馬子產品在VirtusTotal的截圖
3.2 僞裝 Google 公司的招聘文檔
分析過程中發現另外一個樣本使用同上述誘餌文檔類似的模闆僞裝 Google 公司的招聘文檔。
僞裝Google的招聘文檔
其同樣使用模闆注入的手法從伺服器加載惡意模闆檔案,URL 中的 templateID 與上面樣本格式一緻。
URL:https://www.canyonzcc.com/system/templates/template.php?templateID=1010
分析該樣本時伺服器同樣已無法正常響應,但關聯資訊顯示,其最終加載執行了一個名為 “msxml3r.dll” 的 dll 子產品,并調用其導出函數 SHLocalServerDll。
木馬子產品的導出表
導出函數 SHLocalServerDll 中,在記憶體中再次加載一份自身子產品,并調用另外一個導出函數 MSXMLParser,之後使用異或算法解密出 C2 位址:www.canyonzcc.com。
解密出C2位址
接着每隔60秒以 POST 方法向伺服器發送固定的參數 page=admin&mode=product,以請求下載下傳資料。
與C2伺服器通信
所下載下傳資料經過 AES 算法解密後,響應伺服器遠端指令,并向伺服器發送 Success 或 Fail 的回顯,遠端指令格式如下:
| 程序清單 | |
| 2/4 | 下載下傳資料 |
響應C2伺服器遠端指令
3.3 修改開源 PDF 閱讀器
此外,Lazarus 近期還通過修改開源項目 SumatraPDF 閱讀器進行攻擊活動,這在 Lazarus 以往的攻擊活動中出現過多次,以往攻擊活動中通常附帶一個誘餌 pdf 文檔,一旦打開特定 pdf 文檔将會執行惡意行為,而本次所捕獲樣本直接将惡意代碼寫入到閱讀器中。
PDF閱讀器中的惡意流程入口
使用閱讀器樣本打開 pdf 文檔後,判斷文檔 MD5 是否為"a28a25fd2ab85a2fc69019412629e5c9",如果不是将不會進入惡意行為,目前暫無所對應的 pdf 文檔資訊。
PDF閱讀器中檢查特定文檔MD5
如果是則會将a28a25fd2ab85a2fc69019412629e5c9放入 SESSID 字段,向伺服器發起 HTTP GET 請求,目前伺服器已無法響應。
URL:https://industryinfostructure.com/templates/pdfview.php
向C2伺服器通發起網絡請求
之後接受伺服器傳回資料并解密,根據指令是否覆寫 pdf 檔案,再以 NoSessions 向伺服器請求下載下傳資料解密儲存為臨時檔案,URL 同樣為 https://industryinfostructure.com/templates/pdfview.php。
從C2伺服器下載下傳執行子產品
最後通過 rundll32.exe 調用執行下載下傳到的子產品,傳入參數如下:
| DllGetFirstChild NTPR P6k+pR6iIKwJpU6oR6ZilgKPL7IxsitJAnpIYSx2KldSSRFFyUIzTBVFAwgzBkI2PS/+EgASBik/GgYBwBbRNy7pP+Xq4uTsxOXU6NPmudaEz7Xy5fLQica6yKHvtu2XkYmnhfeC/4ythf9I6UbAdvxvy1K2Um5ppVrEQY9WiHdxKbolqiKgLMElwSiKJrcWrQ+cMpYy5cnc+s/hufap15LJmsVFwr7MlMWwiLCGgLZPr4uSk5KIqZiadYGOlkS3cml1ZZdiZmyzZVpovmZiVlNPNXJsck4JXzpPIWw2YBcqCRMFCQJBDG4FfchmxkL2fO8V0jbSTeko2u/BI9YA9zGpM6UWoiGsdaVdqAmmIpYHjzWyM7IOSQR6SGE4dilXB0lfRXtCOEwkRTAIMgYWNnsvVRJSEvQp/xryAdsW1Df76fjl3eIb7M7lIujH5vbW7c/e8tTy2on1uuGh+rbml5GJp4X3gv+MrYXwSOFGzHbxb9BSwFLLaaJau0FNVoh3sim4JZYi1Cz1JZYohya0FpEP9TKZMpTJgvqn4e72sdefyZrF4sI= |
調用 rundll32 執行惡意子產品
雖然分析該樣本時,伺服器已無法正常響應,但根據所調用導出函數名稱、指令行參數均與上面所分析僞裝航空公司相關樣本一緻,其後面執行流程應與上述一緻,所使用 C2 也應一緻,是以可判定應為同一組攻擊人員。
3.4 針對安全研究人員的攻擊活動
近日,國外安全廠商 ESET 披露了一起 Lazarus 針對安全研究人員的投毒攻擊事件,攻擊者将惡意元件捆綁到 IDA Pro 安裝包程式。IDA Pro 是 Hex-Rays 公司的旗艦産品,意為互動式反彙編器專業版,是最流行的靜态反編譯軟體之一,使用者大多是安全研究人員,部分使用者由于正版售價昂貴而下載下傳使用盜版程式,Lazarus正是利用這一點,向目标安全研究人員進行定向攻擊,其主要目的可能為竊取安全研究人員手中的高價值 0Day 漏洞,用以擴充該組織軍火庫。
相關IDA安裝包啟動界面
攻擊者使用惡意的 dll 替換了 IDA Pro 安裝包的内部元件 win_fw.dll。
檔案清單中的惡意子產品
win_fw.dll 将會建立 windows 計劃任務,并啟動另外一個惡意元件 idahelper.dll。
惡意子產品建立的任務計劃
idahelper.dll 執行後将會異或解密出 URL:https://www.devguardmap.org/board/board_read.asp?boardid=01。
idahelper.dll中解密出C2位址
調用 URLOpenBlockingStream 從伺服器下載下傳資料,并在記憶體中加載執行。
從伺服器下載下傳惡意載荷
該樣本所使用 C2 伺服器與該組織以往針對安全研究人員的攻擊活動重疊(https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers),根據樣本編譯時間等關聯資訊顯示,并非近期攻擊活動。微步線上威脅情報可以精準識别,第一時間為客戶發現相關威脅并處置。
C2位址在微步線上X社群的截圖
4 關聯分析
Lazarus 擅長使用社會工程學方案對目标進行滲透攻擊,在今年10月份,該組織曾僞裝仁川國際機場求職信對航空業進行定向攻擊活動,近期同樣發現該組織針對航空業的攻擊活動,可見航空業是 Lazarus 組織的長期攻擊目标之一。
該組織經常使用模闆注入的手法制作誘餌文檔,在去年曾針對航空業進行過名為 “DreamJob” 的攻擊活動,當時同樣以招聘為名義制作誘餌文檔對目标進行社工攻擊,與上述攻擊活動手法如出一轍,在樣本層面業存在諸多關聯之處,例如幾乎相同的記憶體加載 PE 部分。
以往攻擊活動
本次攻擊活動樣本
該組織擅長修改開源項目進行僞裝攻擊,在以往的攻擊活動中曾多次修改開源項目 SumatraPDF 閱讀器,對目标投放釣魚文檔,與本次攻擊活動樣本高度一緻。
以往攻擊活動中所修改的 SumatraPDF 閱讀器
本次攻擊活動修改的 SumatraPDF 閱讀器
5 結論
結合以上分析資訊,可以發現航空業一直是 Lazarus 組織的長期攻擊目标之一,其慣用社會工程學對目标進行攻擊,以招聘名義向目标發送誘餌文檔是其慣用的攻擊手法之一,同時該組織還會修改開源項目譬如 PDF 閱讀器以提升木馬隐蔽性。此外該組織還會針對安全研究人員進行定向攻擊,這在 APT 攻擊活動中是比較少見的,微步情報局會對相關攻擊活動持續進行跟蹤,及時發現安全威脅并快速響應處置。
點選以下連結可擷取完整版PDF報告:「連結」