1 概述
Lazarus 组织是疑似具有国家背景的境外大型 APT 集团组织,该组织擅长使用社会工程学方案针对政府、科研、金融、航空、加密货币等机构进行定向攻击活动,窃取重要情报信息及获取经济利益是其主要目的。
微步情报局近期通过威胁狩猎系统监测到 Lazarus 组织针对航空业及安全研究人员的定向攻击活动,分析有如下发现:
- 攻击者伪装美国“洛克希德马丁”航空公司招聘文档,向目标投递诱饵文档进行攻击;
- 所投递文档最终加载执行恶意后门模块,实现对目标主机的远程控制;
- 同时还使用相同的文档模板制作 Google 公司的招聘诱饵文档进行攻击活动;
- 攻击者修改开源项目 NppShell 开发木马,可以逃避部分安全软件检测;
- Lazarus 复用以往攻击手法,修改开源 SumatraPDF 阅读器进行攻击;
- 此外,该组织将恶意组件捆绑到 IDA Pro 安装包程序针对安全研究人员进行攻击;
- 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
2 详情
Lazarus 使用模板注入的手法精心伪造相关公司招聘文档,这在该组织以往的攻击活动中经常出现,在此次攻击活动中,我们看到攻击者冒充美国“洛克希德马丁”航空公司及 Google 公司向目标发送相关诱饵文档。
伪装“洛克希德马丁”航空公司的诱饵招聘文档
伪装Google公司的诱饵招聘文档
同期还修改开源 PDF 阅读器,向目标发送钓鱼文档。
Lazarus修改的PDF阅读器
此外,该组织还将恶意组件捆绑到 IDA Pro 安装包程序,对安全研究人员进行定向攻击,其主要目的可能为窃取安全研究人员手中的高价值 0Day 漏洞,用以扩充该组织军火库。
3 样本分析
3.1 伪装“洛克希德马丁”航空公司的招聘文档
相关样本以美国航空公司“洛克希德马丁”的职位描述信息为主题作为诱饵文档。
伪装航空公司的招聘文档
该样本使用模板注入的手法从远程服务器加载恶意模板文件。
URL:https://mantis.linkundlink.de/logs/officetemplate.php?templateID=3535
诱饵文档中的模板注入
分析该样本时,服务器已无法正常响应,但根据关联信息显示,最终应加载一个dll 后门模块,该模块为经过开源项目 Notepad++ 中的模块 NppShell 修改而来,其恶意流程在导出函数 DllGetFirstChild 中。
后门模块的导出表
该模块运行必须传入带有 NTPR 字样的命令行参数,进入执行流程后将会检查参数格式并解密,实际执行时传入的参数为:
| NTPR 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 |
对命令行参数解密出的 C2 地址如下:
| https://mante.li/images/draw.php |
| https://bmanal.com/images/draw.php |
| https://shopandtravelusa.com/vendor/monolog/monolog/src/Monolog/monolog.php |
| https://industryinfostructure.com/templates/worldgroup/view.php |
之后收集包括主机网络环境、主机名、用户名、进程列表,使用 RtlCompressBuffer 进行压缩。
后门模块收集的主机信息
以 POST 方法将上述主机信息上传至 C2 服务器,并接收返回数据。
从服务器下载数据
从返回的 html 格式数据提取 payload 数据。
提取payload数据
经过异或解密,响应服务器远程指令。
| 内存加载执行PE模块 | |
| 1 | 下载执行exe模块 |
| 2 | 下载执行dll模块 |
| 3 | 内存中执行shellcode |
响应服务器远程指令
在分析过程中发现另外一个同类样本,使用类似的诱饵文档(ef2d3e488b781a7c6144afa8fc8ba2b6d085ca671100d04686097f3b4dd2ed42)加载木马模块,其会连接一个内网地址进行模板加载。
URL:http://10.10.130.129:4080/down.php?id=2383
诱饵文档中加载模板
而释放的木马模块同样为使用开源项目 NppShell 修改,在分析样本时,我们观察到样本在 VirusTotal 的检出率非常低,表示攻击者借用此种手法逃避了部分安全软件检测。
木马模块在VirtusTotal的截图
3.2 伪装 Google 公司的招聘文档
分析过程中发现另外一个样本使用同上述诱饵文档类似的模板伪装 Google 公司的招聘文档。
伪装Google的招聘文档
其同样使用模板注入的手法从服务器加载恶意模板文件,URL 中的 templateID 与上面样本格式一致。
URL:https://www.canyonzcc.com/system/templates/template.php?templateID=1010
分析该样本时服务器同样已无法正常响应,但关联信息显示,其最终加载执行了一个名为 “msxml3r.dll” 的 dll 模块,并调用其导出函数 SHLocalServerDll。
木马模块的导出表
导出函数 SHLocalServerDll 中,在内存中再次加载一份自身模块,并调用另外一个导出函数 MSXMLParser,之后使用异或算法解密出 C2 地址:www.canyonzcc.com。
解密出C2地址
接着每隔60秒以 POST 方法向服务器发送固定的参数 page=admin&mode=product,以请求下载数据。
与C2服务器通信
所下载数据经过 AES 算法解密后,响应服务器远程指令,并向服务器发送 Success 或 Fail 的回显,远程指令格式如下:
| 进程列表 | |
| 2/4 | 下载数据 |
响应C2服务器远程指令
3.3 修改开源 PDF 阅读器
此外,Lazarus 近期还通过修改开源项目 SumatraPDF 阅读器进行攻击活动,这在 Lazarus 以往的攻击活动中出现过多次,以往攻击活动中通常附带一个诱饵 pdf 文档,一旦打开特定 pdf 文档将会执行恶意行为,而本次所捕获样本直接将恶意代码写入到阅读器中。
PDF阅读器中的恶意流程入口
使用阅读器样本打开 pdf 文档后,判断文档 MD5 是否为"a28a25fd2ab85a2fc69019412629e5c9",如果不是将不会进入恶意行为,目前暂无所对应的 pdf 文档信息。
PDF阅读器中检查特定文档MD5
如果是则会将a28a25fd2ab85a2fc69019412629e5c9放入 SESSID 字段,向服务器发起 HTTP GET 请求,目前服务器已无法响应。
URL:https://industryinfostructure.com/templates/pdfview.php
向C2服务器通发起网络请求
之后接受服务器返回数据并解密,根据指令是否覆盖 pdf 文件,再以 NoSessions 向服务器请求下载数据解密保存为临时文件,URL 同样为 https://industryinfostructure.com/templates/pdfview.php。
从C2服务器下载执行模块
最后通过 rundll32.exe 调用执行下载到的模块,传入参数如下:
| DllGetFirstChild NTPR P6k+pR6iIKwJpU6oR6ZilgKPL7IxsitJAnpIYSx2KldSSRFFyUIzTBVFAwgzBkI2PS/+EgASBik/GgYBwBbRNy7pP+Xq4uTsxOXU6NPmudaEz7Xy5fLQica6yKHvtu2XkYmnhfeC/4ythf9I6UbAdvxvy1K2Um5ppVrEQY9WiHdxKbolqiKgLMElwSiKJrcWrQ+cMpYy5cnc+s/hufap15LJmsVFwr7MlMWwiLCGgLZPr4uSk5KIqZiadYGOlkS3cml1ZZdiZmyzZVpovmZiVlNPNXJsck4JXzpPIWw2YBcqCRMFCQJBDG4FfchmxkL2fO8V0jbSTeko2u/BI9YA9zGpM6UWoiGsdaVdqAmmIpYHjzWyM7IOSQR6SGE4dilXB0lfRXtCOEwkRTAIMgYWNnsvVRJSEvQp/xryAdsW1Df76fjl3eIb7M7lIujH5vbW7c/e8tTy2on1uuGh+rbml5GJp4X3gv+MrYXwSOFGzHbxb9BSwFLLaaJau0FNVoh3sim4JZYi1Cz1JZYohya0FpEP9TKZMpTJgvqn4e72sdefyZrF4sI= |
调用 rundll32 执行恶意模块
虽然分析该样本时,服务器已无法正常响应,但根据所调用导出函数名称、命令行参数均与上面所分析伪装航空公司相关样本一致,其后面执行流程应与上述一致,所使用 C2 也应一致,因此可判定应为同一组攻击人员。
3.4 针对安全研究人员的攻击活动
近日,国外安全厂商 ESET 披露了一起 Lazarus 针对安全研究人员的投毒攻击事件,攻击者将恶意组件捆绑到 IDA Pro 安装包程序。IDA Pro 是 Hex-Rays 公司的旗舰产品,意为交互式反汇编器专业版,是最流行的静态反编译软件之一,用户大多是安全研究人员,部分用户由于正版售价昂贵而下载使用盗版程序,Lazarus正是利用这一点,向目标安全研究人员进行定向攻击,其主要目的可能为窃取安全研究人员手中的高价值 0Day 漏洞,用以扩充该组织军火库。
相关IDA安装包启动界面
攻击者使用恶意的 dll 替换了 IDA Pro 安装包的内部组件 win_fw.dll。
文件列表中的恶意模块
win_fw.dll 将会创建 windows 计划任务,并启动另外一个恶意组件 idahelper.dll。
恶意模块创建的任务计划
idahelper.dll 执行后将会异或解密出 URL:https://www.devguardmap.org/board/board_read.asp?boardid=01。
idahelper.dll中解密出C2地址
调用 URLOpenBlockingStream 从服务器下载数据,并在内存中加载执行。
从服务器下载恶意载荷
该样本所使用 C2 服务器与该组织以往针对安全研究人员的攻击活动重叠(https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers),根据样本编译时间等关联信息显示,并非近期攻击活动。微步在线威胁情报可以精准识别,第一时间为客户发现相关威胁并处置。
C2地址在微步在线X社区的截图
4 关联分析
Lazarus 擅长使用社会工程学方案对目标进行渗透攻击,在今年10月份,该组织曾伪装仁川国际机场求职信对航空业进行定向攻击活动,近期同样发现该组织针对航空业的攻击活动,可见航空业是 Lazarus 组织的长期攻击目标之一。
该组织经常使用模板注入的手法制作诱饵文档,在去年曾针对航空业进行过名为 “DreamJob” 的攻击活动,当时同样以招聘为名义制作诱饵文档对目标进行社工攻击,与上述攻击活动手法如出一辙,在样本层面业存在诸多关联之处,例如几乎相同的内存加载 PE 部分。
以往攻击活动
本次攻击活动样本
该组织擅长修改开源项目进行伪装攻击,在以往的攻击活动中曾多次修改开源项目 SumatraPDF 阅读器,对目标投放钓鱼文档,与本次攻击活动样本高度一致。
以往攻击活动中所修改的 SumatraPDF 阅读器
本次攻击活动修改的 SumatraPDF 阅读器
5 结论
结合以上分析信息,可以发现航空业一直是 Lazarus 组织的长期攻击目标之一,其惯用社会工程学对目标进行攻击,以招聘名义向目标发送诱饵文档是其惯用的攻击手法之一,同时该组织还会修改开源项目譬如 PDF 阅读器以提升木马隐蔽性。此外该组织还会针对安全研究人员进行定向攻击,这在 APT 攻击活动中是比较少见的,微步情报局会对相关攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。
点击以下链接可获取完整版PDF报告:「链接」