故障修复之下的陷阱:Lazarus(APT-Q-1)近期利用 ClickFix 手法的攻击分析
Contents
团伙背景
Lazarus 是疑似具有东北亚背景的 APT 组织,奇安信内部跟踪编号 APT-Q-1。该组织因 2014 年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到 2007 年。Lazarus 早期主要针对政府机构,以窃取敏感情报为目的,但自 2014 年后,开始攻击全球金融机构、虚拟货币交易场所等目标,从受害者处盗取金钱资产。Lazarus 曾多次利用虚假的社交账号,以提供工作机会为伪装,向特定行业人员发起钓鱼攻击。
事件概述
ClickFix 是近年来兴起的一种社会工程学攻击手段,攻击者向受害者展示一个并不存在的故障,诱使受害者按照攻击者提供的指示“修复”故障,实际上受害者主动运行的“修复”命令正是经过伪装的恶意代码。
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,受害者被虚假工作机会吸引到攻击者搭建的面试网站,网站指导受害者准备面试环境。当受害者按照指示操作时,网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。不久前国外的一些报告[1, 2]记录了该钓鱼过程。
近期,奇安信威胁情报中心发现一个与 Lazarus ClickFix 攻击活动有关的 bat 脚本,该脚本下载虚假的 Nvidia 软件包[3]。恶意软件包进一步部署 Node.js 环境,执行 Lazarus 组织常用的 BeaverTail 恶意软件。对于 Windows11 的系统,攻击者还会运行一个具有命令执行、读写指定文件功能的后门 drvUpdate.exe。根据关联,该攻击活动还影响到 macOS 系统用户。
详细分析
样本相关信息如下:
MD5 | 文件名 | 说明 |
f9e18687a38e968811b93351e9fca089 | ClickFix-1.bat | 下载恶意压缩包 |
a4e58b91531d199f268c5ea02c7bf456 | nvidiaRelease.zip | 包含恶意软件的压缩包 |
3ef7717c8bcb26396fc50ed92e812d13 | run.vbs | 恶意脚本 |
983a8a6f4d0a8c887536f5787a6b01a2 | shell.bat | 恶意脚本 |
b52e105bd040bda6639e958f7d9e3090 | main.js | BeaverTail 窃密软件 |
6175efd148a89ca61b6835c77acc7a8d | drvUpdate.exe | 针对Win11 运行的后门 |
攻击链
ClickFix-1.bat 点击运行后从 hxxps://driverservices.store/visiodrive/nvidiaRelease.zip 下载恶意压缩包,压缩包解压后执行其中的 run.vbs 脚本。
下载的压缩包 nvidiaRelease.zip 中内容如下。
Run.vbs 检查操作系统的 BuildNumber 是否不低于 22000(即是否为 Win11),如果是则运行压缩包中的后门 drvUpdate.exe 文件,该文件的具体作用在后面介绍。并且 run.vbs 通过获取 Node.js 的版本判断是否存在 Node.js 环境,存在则直接运行 shell.bat,不存在则以管理员身份运行 shell.bat。
Shell.bat 在 Node.js 不存在的情况下,下载并安装 Node.js 运行环境。
在 shell.bat 文件所在的目录运行 npm install 和 npm start 命令。
最后通过注册表建立持久化,添加的命令为"\"%USERPROFILE%\.pyp\pythonw.exe\" \"%USERPROFILE%\.n2\pay\"",该路径为 Lazarus 后续下载 Python 木马 InvisibleFerret 的常用保存路径。
Shell.bat 执行 npm 命令时,根据同目录下的 package.json 配置信息,将运行 main.js。
Main.js 为 Lazarus 常用的跨操作系统窃密软件 BeaverTail,C2 服务器为 hxxp://45.159.248.110。BeaverTail 还会从 C2 服务器下载并部署 Python 木马 InvisibleFerret。
MD5 | 下载链接 | 保存位置 |
17eb90ac00007154a6418a91bf8da9c7 | hxxp://45.159.248.110/client/xyz2 | [home_dir]/.npl |
5e698d6f14e10616b0dbb1496e574a91 | hxxp://45.159.248.110/payload/xyz2 | [home_dir]/.n2/pay |
d9fb02481d1df9f93b7d8e84dc7e097f …
Lazarus 是疑似具有东北亚背景的 APT 组织,奇安信内部跟踪编号 APT-Q-1。该组织因 2014 年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到 2007 年。Lazarus 早期主要针对政府机构,以窃取敏感情报为目的,但自 2014 年后,开始攻击全球金融机构、虚拟货币交易场所等目标,从受害者处盗取金钱资产。Lazarus 曾多次利用虚假的社交账号,以提供工作机会为伪装,向特定行业人员发起钓鱼攻击。
事件概述
ClickFix 是近年来兴起的一种社会工程学攻击手段,攻击者向受害者展示一个并不存在的故障,诱使受害者按照攻击者提供的指示“修复”故障,实际上受害者主动运行的“修复”命令正是经过伪装的恶意代码。
Lazarus 在以虚假招聘为诱饵的钓鱼攻击中融入 ClickFix 手法,受害者被虚假工作机会吸引到攻击者搭建的面试网站,网站指导受害者准备面试环境。当受害者按照指示操作时,网站会在特定时机提示受害者摄像头配置不符合要求或者存在故障,并给出修复方案,修复命令看起来是下载 Nvidia 相关软件的更新,真实目的却是植入恶意软件。不久前国外的一些报告[1, 2]记录了该钓鱼过程。
近期,奇安信威胁情报中心发现一个与 Lazarus ClickFix 攻击活动有关的 bat 脚本,该脚本下载虚假的 Nvidia 软件包[3]。恶意软件包进一步部署 Node.js 环境,执行 Lazarus 组织常用的 BeaverTail 恶意软件。对于 Windows11 的系统,攻击者还会运行一个具有命令执行、读写指定文件功能的后门 drvUpdate.exe。根据关联,该攻击活动还影响到 macOS 系统用户。
详细分析
样本相关信息如下:
MD5 | 文件名 | 说明 |
f9e18687a38e968811b93351e9fca089 | ClickFix-1.bat | 下载恶意压缩包 |
a4e58b91531d199f268c5ea02c7bf456 | nvidiaRelease.zip | 包含恶意软件的压缩包 |
3ef7717c8bcb26396fc50ed92e812d13 | run.vbs | 恶意脚本 |
983a8a6f4d0a8c887536f5787a6b01a2 | shell.bat | 恶意脚本 |
b52e105bd040bda6639e958f7d9e3090 | main.js | BeaverTail 窃密软件 |
6175efd148a89ca61b6835c77acc7a8d | drvUpdate.exe | 针对Win11 运行的后门 |
攻击链
ClickFix-1.bat 点击运行后从 hxxps://driverservices.store/visiodrive/nvidiaRelease.zip 下载恶意压缩包,压缩包解压后执行其中的 run.vbs 脚本。
下载的压缩包 nvidiaRelease.zip 中内容如下。
Run.vbs 检查操作系统的 BuildNumber 是否不低于 22000(即是否为 Win11),如果是则运行压缩包中的后门 drvUpdate.exe 文件,该文件的具体作用在后面介绍。并且 run.vbs 通过获取 Node.js 的版本判断是否存在 Node.js 环境,存在则直接运行 shell.bat,不存在则以管理员身份运行 shell.bat。
Shell.bat 在 Node.js 不存在的情况下,下载并安装 Node.js 运行环境。
在 shell.bat 文件所在的目录运行 npm install 和 npm start 命令。
最后通过注册表建立持久化,添加的命令为"\"%USERPROFILE%\.pyp\pythonw.exe\" \"%USERPROFILE%\.n2\pay\"",该路径为 Lazarus 后续下载 Python 木马 InvisibleFerret 的常用保存路径。
Shell.bat 执行 npm 命令时,根据同目录下的 package.json 配置信息,将运行 main.js。
Main.js 为 Lazarus 常用的跨操作系统窃密软件 BeaverTail,C2 服务器为 hxxp://45.159.248.110。BeaverTail 还会从 C2 服务器下载并部署 Python 木马 InvisibleFerret。
MD5 | 下载链接 | 保存位置 |
17eb90ac00007154a6418a91bf8da9c7 | hxxp://45.159.248.110/client/xyz2 | [home_dir]/.npl |
5e698d6f14e10616b0dbb1496e574a91 | hxxp://45.159.248.110/payload/xyz2 | [home_dir]/.n2/pay |
d9fb02481d1df9f93b7d8e84dc7e097f …
IoC
http://45.159.248.110/payload/xyz2
https://www.gendigital.com/blog/insights/research/deceptive-nvidia-attack
https://driverservices.store/visiodrive/nvidiaRelease.zip
https://driverservices.store/visiodrive/arm64-fixer
https://sandbox.ti.qianxin.com/sandbox/page
http://45.159.248.110/client/xyz2
http://45.159.248.110/brow/xyz2
http://45.89.53.54
https://driverservices.store/visiodrive/arm64-fixernew
https://x.com/RedDrip7/status/1954801591938170935
https://medium.com/@anyrun/pylangghost-rat-rising-data-stealer-from-lazarus-group-targeting-finance-and-technology-d65cf790fb6d
https://block-digital.online/drivers/cam_driver
http://45.159.248.110
https://driverservices.store/visiodrive/nvidiaReleasenew.zip
45.159.248.110
103.231.75.101
45.89.53.54
8c274285c5f8914cdbb090d72d1720d3
d9fb02481d1df9f93b7d8e84dc7e097f
15e48aef2e26f2367e5002e6c3148e1f
13400d5c844b7ab9aacc81822b1e7f02
f9e18687a38e968811b93351e9fca089
5e698d6f14e10616b0dbb1496e574a91
3ef7717c8bcb26396fc50ed92e812d13
a009cd35850929199ef60e71bce86830
983a8a6f4d0a8c887536f5787a6b01a2
b73fd8f21a2ed093f8caf0cf4b41aa4d
cbd183f5e5ed7d295d83e29b62b15431
a4e58b91531d199f268c5ea02c7bf456
b52e105bd040bda6639e958f7d9e3090
17eb90ac00007154a6418a91bf8da9c7
6175efd148a89ca61b6835c77acc7a8d
cdf296d7404bd6193514284f021bfa54
https://www.gendigital.com/blog/insights/research/deceptive-nvidia-attack
https://driverservices.store/visiodrive/nvidiaRelease.zip
https://driverservices.store/visiodrive/arm64-fixer
https://sandbox.ti.qianxin.com/sandbox/page
http://45.159.248.110/client/xyz2
http://45.159.248.110/brow/xyz2
http://45.89.53.54
https://driverservices.store/visiodrive/arm64-fixernew
https://x.com/RedDrip7/status/1954801591938170935
https://medium.com/@anyrun/pylangghost-rat-rising-data-stealer-from-lazarus-group-targeting-finance-and-technology-d65cf790fb6d
https://block-digital.online/drivers/cam_driver
http://45.159.248.110
https://driverservices.store/visiodrive/nvidiaReleasenew.zip
45.159.248.110
103.231.75.101
45.89.53.54
8c274285c5f8914cdbb090d72d1720d3
d9fb02481d1df9f93b7d8e84dc7e097f
15e48aef2e26f2367e5002e6c3148e1f
13400d5c844b7ab9aacc81822b1e7f02
f9e18687a38e968811b93351e9fca089
5e698d6f14e10616b0dbb1496e574a91
3ef7717c8bcb26396fc50ed92e812d13
a009cd35850929199ef60e71bce86830
983a8a6f4d0a8c887536f5787a6b01a2
b73fd8f21a2ed093f8caf0cf4b41aa4d
cbd183f5e5ed7d295d83e29b62b15431
a4e58b91531d199f268c5ea02c7bf456
b52e105bd040bda6639e958f7d9e3090
17eb90ac00007154a6418a91bf8da9c7
6175efd148a89ca61b6835c77acc7a8d
cdf296d7404bd6193514284f021bfa54