APT-C-26(Lazarus)组织利用CVE-2025-55182与Copperhedge组件的攻击行动分析
Contents
APT-C-26(Lazarus)组织是一个高度活跃的高级持续性威胁(APT)组织,以其精密和隐蔽的攻击手段而闻名。该组织主要瞄准金融机构和加密货币交易所,运用一系列复杂的攻击策略,包括精心设计的网络钓鱼、直接网络攻击以及勒索软件攻击。Lazarus组织不仅以非法获取资金为目的,其活动还可能涉及深度情报收集和政治动机。这些行为反映了该组织在网络安全领域的高度技术能力和对目标的深入了解。
在日常监测中,我们观察到Lazarus组织使用了与CVE-2025-55182漏洞相关的恶意组件,并辅以内网横向移动工具MultiRelay、用户账户控制(UAC)绕过工具,以及Copperhedge恶意软件家族的痕迹。
CVE-2025-55182 是 React 代码库 (RSC) 中的一个不安全反序列化漏洞,允许攻击者通过单个 HTTP 请求执行未经身份验证的远程代码。该漏洞由安全研究员 Lachlan Davidson于 2025 年 12 月 3 日披露,影响 React 19.x 及其构建的框架,包括使用 App Router 的 Next.js 15.x 和 16.x。
Copperhedge恶意软件最早由CISA于2020年披露[1],是 Manuscrypt 系列恶意软件,被用于攻击加密货币交易所及相关实体。Manuscrypt 是一款功能齐全的远程访问工具 (RAT),能够执行任意命令、进行系统侦察并窃取数据。在本次监测到的Copperhedge Loader样本中,其文件版本信息被刻意伪装为“WaveTest”相关标识,以规避常规检测。
综合上述技术特征与攻击工具链分析,我们推断,Lazarus组织此次发起的攻击行动,其主要目标极有可能是金融机构或区块链相关基础设施,旨在通过利用上述漏洞和工具组合,实现对目标系统的深度渗透与控制,进而达成其数据窃取、资金转移或情报获取的战略目的。
攻击者将CVE-2025-55182漏洞利用工具武器化,编译为Windows平台可执行程序。该工具以攻击者构造的list.txt文件作为目标列表参数,对目标服务器进行批量漏洞扫描与利用,从而获取初始访问权限。
同时,攻击者使用了内网渗透工具MultiRelay(multirelay.exe)以及Windows用户账户控制(UAC)绕过工具Akagi64(akagi64.exe)。通过利用Akagi64成功绕过UAC机制提升权限后,攻击者执行系统命令,调用rundll32.exe加载并运行Copperhedge Loader。该Loader随后释放Copperhedge Backdoor,建立持久化远程控制通道,最终实现对目标主机的完全控制。
图 1 攻击流程图
Copperhedge Loader使用的是循环密钥异或解密算法:以一个 56 字节的硬编码密钥,对目标数据逐字节循环异或,共处理 184320 字节,随后将解密的Copperhedge Backdoor样本加载到内存执行。
图 2 Copperhedge Loader解密后续载荷代码示例
Copperhedge Backdoor是Manuscrypt恶意组件变种,由CISA在2020年披露。
样本首先会根据Loader传递的模式存储配置信息,在模式3下,将配置信息加密保存至\AppData\Local\Microsoft\Internet Explorer\brndlog.txt文件,在其他模式(小于6)下,保存至注册表中。
图 3 配置信息保存方式1
图4 配置信息保存方式2
Copperhedge Backdoor在执行过程中会创建一个名为“MsSecurityObj”的互斥锁,以防止同一恶意组件的重复执行。值得注意的是,该互斥锁的名称与我们在长期跟踪中所记录的Copperhedge组件所使用的互斥锁名称完全一致。
图 5 创建互斥体
然后,后门将收集系统信息,包括计算机名称、用户名、本地IP地址、Windows产品名称(ProductName)、系统代码页(ACP)、当前模块文件路径及其模块名。接下来,它将计算机名称、处理器名称和加载器文件名组合起来,生成一个CRC哈希值。
图 6 信息收集
在进行C2通信时,该后门会构造包含3至4个参数的HTTP请求。其中,首个参数的值为1000至9999之间的随机数;第二个参数采用硬编码字符串T3F56E5UJH0JC3D4作为标识符;最后一个参数是发往C2的数据,内容为随机生成的4字节值(经Base64编码)。请求发送后,它会接收C2服务器返回的响应数据,并对其进行Base64解码处理。
图 7 参数选择
图 8 请求C2并解码接收数据
在后续通信,样本会使用ChaCha20->XOR加密->BASE64编码方式加密发送到C2的数据,从服务器接收数据后,使用反向顺序来提取明文。
表 1 内置密钥信息
ChaCha20密钥 | 7A C3 19 5F 42 E6 8B D0 13 A7 F4 26 9D 5B C1 38 EF 74 29 8C 51 DA 36 90 B2 68 FC 0D 83 47 AE 11 |
ChaCha20 Nonce | 876543210987 |
ChaCha20 Counter | 255 |
图 9 加密数据示例
在该后门中,包含30个命令与11个响应代码,如下表所示。
表 2 命令与控制代码
命令 | 描述 |
0x2003 | 发送收集的系统信息 |
0x2004 | 发送系统驱动器信息 |
0x2005 | 发送指定目录文件列表 |
0x2006 | 指定命令执行并发送 |
0x2007 | 压缩指定的文件或目录成CAB文件并发送 |
0x2008 | 从C2下载文件 |
0x2009 | 从C2下载文件并追加随机垃圾数据 |
0x2010 | 普通权限创建进程 |
0x2011 | 使用用户令牌创建进程 |
0x2012 | 枚举进程和模块信息并发送 |
0x2013 | 终止指定进程 |
0x2014 | 删除指定文件(防恢复) |
0x2015 | 测试指定ip:port连通性 |
0x2016 | 伪装文件时间戳 …
在日常监测中,我们观察到Lazarus组织使用了与CVE-2025-55182漏洞相关的恶意组件,并辅以内网横向移动工具MultiRelay、用户账户控制(UAC)绕过工具,以及Copperhedge恶意软件家族的痕迹。
CVE-2025-55182 是 React 代码库 (RSC) 中的一个不安全反序列化漏洞,允许攻击者通过单个 HTTP 请求执行未经身份验证的远程代码。该漏洞由安全研究员 Lachlan Davidson于 2025 年 12 月 3 日披露,影响 React 19.x 及其构建的框架,包括使用 App Router 的 Next.js 15.x 和 16.x。
Copperhedge恶意软件最早由CISA于2020年披露[1],是 Manuscrypt 系列恶意软件,被用于攻击加密货币交易所及相关实体。Manuscrypt 是一款功能齐全的远程访问工具 (RAT),能够执行任意命令、进行系统侦察并窃取数据。在本次监测到的Copperhedge Loader样本中,其文件版本信息被刻意伪装为“WaveTest”相关标识,以规避常规检测。
综合上述技术特征与攻击工具链分析,我们推断,Lazarus组织此次发起的攻击行动,其主要目标极有可能是金融机构或区块链相关基础设施,旨在通过利用上述漏洞和工具组合,实现对目标系统的深度渗透与控制,进而达成其数据窃取、资金转移或情报获取的战略目的。
攻击者将CVE-2025-55182漏洞利用工具武器化,编译为Windows平台可执行程序。该工具以攻击者构造的list.txt文件作为目标列表参数,对目标服务器进行批量漏洞扫描与利用,从而获取初始访问权限。
同时,攻击者使用了内网渗透工具MultiRelay(multirelay.exe)以及Windows用户账户控制(UAC)绕过工具Akagi64(akagi64.exe)。通过利用Akagi64成功绕过UAC机制提升权限后,攻击者执行系统命令,调用rundll32.exe加载并运行Copperhedge Loader。该Loader随后释放Copperhedge Backdoor,建立持久化远程控制通道,最终实现对目标主机的完全控制。
图 1 攻击流程图
Copperhedge Loader使用的是循环密钥异或解密算法:以一个 56 字节的硬编码密钥,对目标数据逐字节循环异或,共处理 184320 字节,随后将解密的Copperhedge Backdoor样本加载到内存执行。
图 2 Copperhedge Loader解密后续载荷代码示例
Copperhedge Backdoor是Manuscrypt恶意组件变种,由CISA在2020年披露。
样本首先会根据Loader传递的模式存储配置信息,在模式3下,将配置信息加密保存至\AppData\Local\Microsoft\Internet Explorer\brndlog.txt文件,在其他模式(小于6)下,保存至注册表中。
图 3 配置信息保存方式1
图4 配置信息保存方式2
Copperhedge Backdoor在执行过程中会创建一个名为“MsSecurityObj”的互斥锁,以防止同一恶意组件的重复执行。值得注意的是,该互斥锁的名称与我们在长期跟踪中所记录的Copperhedge组件所使用的互斥锁名称完全一致。
图 5 创建互斥体
然后,后门将收集系统信息,包括计算机名称、用户名、本地IP地址、Windows产品名称(ProductName)、系统代码页(ACP)、当前模块文件路径及其模块名。接下来,它将计算机名称、处理器名称和加载器文件名组合起来,生成一个CRC哈希值。
图 6 信息收集
在进行C2通信时,该后门会构造包含3至4个参数的HTTP请求。其中,首个参数的值为1000至9999之间的随机数;第二个参数采用硬编码字符串T3F56E5UJH0JC3D4作为标识符;最后一个参数是发往C2的数据,内容为随机生成的4字节值(经Base64编码)。请求发送后,它会接收C2服务器返回的响应数据,并对其进行Base64解码处理。
图 7 参数选择
图 8 请求C2并解码接收数据
在后续通信,样本会使用ChaCha20->XOR加密->BASE64编码方式加密发送到C2的数据,从服务器接收数据后,使用反向顺序来提取明文。
表 1 内置密钥信息
ChaCha20密钥 | 7A C3 19 5F 42 E6 8B D0 13 A7 F4 26 9D 5B C1 38 EF 74 29 8C 51 DA 36 90 B2 68 FC 0D 83 47 AE 11 |
ChaCha20 Nonce | 876543210987 |
ChaCha20 Counter | 255 |
图 9 加密数据示例
在该后门中,包含30个命令与11个响应代码,如下表所示。
表 2 命令与控制代码
命令 | 描述 |
0x2003 | 发送收集的系统信息 |
0x2004 | 发送系统驱动器信息 |
0x2005 | 发送指定目录文件列表 |
0x2006 | 指定命令执行并发送 |
0x2007 | 压缩指定的文件或目录成CAB文件并发送 |
0x2008 | 从C2下载文件 |
0x2009 | 从C2下载文件并追加随机垃圾数据 |
0x2010 | 普通权限创建进程 |
0x2011 | 使用用户令牌创建进程 |
0x2012 | 枚举进程和模块信息并发送 |
0x2013 | 终止指定进程 |
0x2014 | 删除指定文件(防恢复) |
0x2015 | 测试指定ip:port连通性 |
0x2016 | 伪装文件时间戳 …
IoC
https://www.cisa.gov/news-events/analysis-reports/ar20-133a
https://securelist.ru/operation-synchole-watering-hole-attacks-by-lazarus/112426/
https://www.magazineschool.co.kr/includes/lm9.asp
http://206.71.148.38:80
https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks
206.71.148.38
cb7c15fc9c07a3db79f35d64efc2fc73
f85a05aa9781848e2a9e3f42f0c3418a
324f7ef1b7aeb9258e06dabe99a8948f
e6569de917f84422439765b3a67ca971
0677555769e4b64cc084dcc132048144
72aa61fa53e9caeee9d2993312587b46
3c922758c200100840f77bc691ef78ce
e3d66a422a81ed40dbd6bb6abd4a3e54
9174ecb742b82a0bc4c002b82cc13fa0
bfd66efdcafb9d24ed9f0e2f733b129c
a4d2759e6fc0b6fe5fe221a8bd75c769
246e5b07824f131dc4cb1fad35f8f763
2e5fafffc9970527c1bbd5262da52f59
2175449ed1c275f2cb2490094d7aabf8
https://securelist.ru/operation-synchole-watering-hole-attacks-by-lazarus/112426/
https://www.magazineschool.co.kr/includes/lm9.asp
http://206.71.148.38:80
https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks
206.71.148.38
cb7c15fc9c07a3db79f35d64efc2fc73
f85a05aa9781848e2a9e3f42f0c3418a
324f7ef1b7aeb9258e06dabe99a8948f
e6569de917f84422439765b3a67ca971
0677555769e4b64cc084dcc132048144
72aa61fa53e9caeee9d2993312587b46
3c922758c200100840f77bc691ef78ce
e3d66a422a81ed40dbd6bb6abd4a3e54
9174ecb742b82a0bc4c002b82cc13fa0
bfd66efdcafb9d24ed9f0e2f733b129c
a4d2759e6fc0b6fe5fe221a8bd75c769
246e5b07824f131dc4cb1fad35f8f763
2e5fafffc9970527c1bbd5262da52f59
2175449ed1c275f2cb2490094d7aabf8