疑似Lazarus针对双平台的攻击活动披露
Contents
概括
Lazarus APT组织是一个长期活跃的组织,因为2014年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国,美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自2014年后,该组织开始针对全球金融机构,加密交易机构等为目标,进行敛财活动。
近期,奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中,捕获一例利用心理测验为诱饵的Lazarus攻击样本,该样本通过宏释放powershell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联,捕获另一例针对Macos的攻击样本,并在发现此次攻击活动的第一时间通过社交媒体进行预警。
样本分析
诱饵文档
MD5 6850189bbf5191a76761ab20f7c630ef
作者 Windows User
修改时间 2019:10:22 02:53:14
本次攻击活动攻击者使用心里测验相关内容为诱饵,诱导用户启用宏:
启用宏需点击笑脸,从而执行恶意宏代码:
之后将powershell代码写入到%temp%目录下并通过powershell.exe执行:
Powershell
释放的powershell脚本是一个后门,硬编码了三个c2:
执行后与内置的c2服务器进行通信,若通信失败,则休眠一段事件尝试连接其他c2:
从c2获取命令执行,根据不同的命令执行不同功能:
支持的命功能如下表所示:
命令 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序c2等配置
18 通过cmd执行命令
20 上传指定文件
21 下载文件保存到指定文件
24 执行命令
获取本机计算机名,ip地址,系统版本号等信息上传:
通过cmd执行c2命令:
更新c2服务器配置:
上传指定文件:
下载文件保存到指定位置:
Macos Backdoor
经关联分析,奇安信威胁情报中心关联使用相同c2针对MacOS 平台的攻击样本,样本基本信息如下:
文件名 Album.app.zip
MD5 a8096ddf8758a79fdf68753190c6216a
该文件包含一个正常的.Flash Player文件,而恶意程序隐藏在Flash Player中:
运行后首先从偏移1340,截取大小0x6c74的数据保存到.FlashUpdateCheck
之后写入配置文件com.adobe.macromedia.flash.plist,并通过launchctl load加载配置文件,从而使配置文件生效实现.FlashUpdateCheck的自启动:
使用chmod命令提升.FlashUpdateCheck权限:
文件名 .FlashUpdateCheck
MD5 bac54e7199bd85afa5493e36d3f193d2
该文件具有后门功能,功能与powershell后门基本一致。同样硬编码了三个c2:
运行后与c2通信获取c2指令:
之后根据c2指令执行不同功能:
功能列表如下:
命令 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序c2等配置
18 通过bash执行命令
19 执行其他命令
20 上传指定文件
21 下载文件
24 通过system执行
25 通过system执行
溯源关联
通过对本次攻击活动的后门以及ttps分析,奇安信威胁情报中心判断本次攻击活动的幕后黑手是Lazarus。
相似的后门
Powershell基本一致:
Macos 样本主要流程基本一致:
且c2在奇安信威胁情报大数据平台(ti.qianxin.com)已打上Lazarus标签:
综上,本次捕获的攻击样本应该是出自臭名昭著的Lazarus APT团伙。
总结
Lazarus 团伙是一个长期活跃的APT组织,武器库十分强大,拥有对多平台进行攻击的能力,近年来,该团伙多次被安全厂商披露,但从未停止进攻的脚本,反而越发活跃,攻击目标也越发广泛。同时,该团伙也多次针对国内进行攻击活动,企业用户在日常的工作中,切勿随意打开来历不明的邮件附件。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
6850189bbf5191a76761ab20f7c630ef
a8096ddf8758a79fdf68753190c6216a
hxxps://crabbedly.club/board.php
hxxps://craypot.live/board.php
htxxps://indagator.club/board.php
参考链接:
https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/
Lazarus APT组织是一个长期活跃的组织,因为2014年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国,美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自2014年后,该组织开始针对全球金融机构,加密交易机构等为目标,进行敛财活动。
近期,奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中,捕获一例利用心理测验为诱饵的Lazarus攻击样本,该样本通过宏释放powershell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联,捕获另一例针对Macos的攻击样本,并在发现此次攻击活动的第一时间通过社交媒体进行预警。
样本分析
诱饵文档
MD5 6850189bbf5191a76761ab20f7c630ef
作者 Windows User
修改时间 2019:10:22 02:53:14
本次攻击活动攻击者使用心里测验相关内容为诱饵,诱导用户启用宏:
启用宏需点击笑脸,从而执行恶意宏代码:
之后将powershell代码写入到%temp%目录下并通过powershell.exe执行:
Powershell
释放的powershell脚本是一个后门,硬编码了三个c2:
执行后与内置的c2服务器进行通信,若通信失败,则休眠一段事件尝试连接其他c2:
从c2获取命令执行,根据不同的命令执行不同功能:
支持的命功能如下表所示:
命令 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序c2等配置
18 通过cmd执行命令
20 上传指定文件
21 下载文件保存到指定文件
24 执行命令
获取本机计算机名,ip地址,系统版本号等信息上传:
通过cmd执行c2命令:
更新c2服务器配置:
上传指定文件:
下载文件保存到指定位置:
Macos Backdoor
经关联分析,奇安信威胁情报中心关联使用相同c2针对MacOS 平台的攻击样本,样本基本信息如下:
文件名 Album.app.zip
MD5 a8096ddf8758a79fdf68753190c6216a
该文件包含一个正常的.Flash Player文件,而恶意程序隐藏在Flash Player中:
运行后首先从偏移1340,截取大小0x6c74的数据保存到.FlashUpdateCheck
之后写入配置文件com.adobe.macromedia.flash.plist,并通过launchctl load加载配置文件,从而使配置文件生效实现.FlashUpdateCheck的自启动:
使用chmod命令提升.FlashUpdateCheck权限:
文件名 .FlashUpdateCheck
MD5 bac54e7199bd85afa5493e36d3f193d2
该文件具有后门功能,功能与powershell后门基本一致。同样硬编码了三个c2:
运行后与c2通信获取c2指令:
之后根据c2指令执行不同功能:
功能列表如下:
命令 功能
2 设置休眠时间
3 结束本进程
11 获取本机基本信息上传
12 检查恶意程序当前状态
14 显示当前恶意程序配置
15 更新恶意程序c2等配置
18 通过bash执行命令
19 执行其他命令
20 上传指定文件
21 下载文件
24 通过system执行
25 通过system执行
溯源关联
通过对本次攻击活动的后门以及ttps分析,奇安信威胁情报中心判断本次攻击活动的幕后黑手是Lazarus。
相似的后门
Powershell基本一致:
Macos 样本主要流程基本一致:
且c2在奇安信威胁情报大数据平台(ti.qianxin.com)已打上Lazarus标签:
综上,本次捕获的攻击样本应该是出自臭名昭著的Lazarus APT团伙。
总结
Lazarus 团伙是一个长期活跃的APT组织,武器库十分强大,拥有对多平台进行攻击的能力,近年来,该团伙多次被安全厂商披露,但从未停止进攻的脚本,反而越发活跃,攻击目标也越发广泛。同时,该团伙也多次针对国内进行攻击活动,企业用户在日常的工作中,切勿随意打开来历不明的邮件附件。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
6850189bbf5191a76761ab20f7c630ef
a8096ddf8758a79fdf68753190c6216a
hxxps://crabbedly.club/board.php
hxxps://craypot.live/board.php
htxxps://indagator.club/board.php
参考链接:
https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/
IoC
6850189bbf5191a76761ab20f7c630ef
a8096ddf8758a79fdf68753190c6216a
bac54e7199bd85afa5493e36d3f193d2
http://indagator.club/board.php
https://crabbedly.club/board.php
https://craypot.live/board.php
a8096ddf8758a79fdf68753190c6216a
bac54e7199bd85afa5493e36d3f193d2
http://indagator.club/board.php
https://crabbedly.club/board.php
https://craypot.live/board.php