Lazarus窃密币动作活跃,大量资产仍存活
Contents
Lazarus是具有国家背景的东北亚APT组织,至少自 2009 年以来一直活跃。Lazarus攻击目标广泛,当前已发展为包含多个分支机构的复杂黑客团伙。区别于其他APT组织,Lazarus最常见的攻击活动目的为敛财。近十年间,Lazarus对加密货币领域一直保持高度兴趣。微步情报局发现,自Lazarus使用Python存储库PyPI投毒事件以来,Lazarus对于轻量级的python、Javascript武器库愈发青睐。虽然相关攻击事件已经多次被披露,但很多攻击资产依然大量存活。在朝鲜半岛区域政治局势更加紧张的当下,不排除Lazarus在今后更为活跃的可能性。
Lazarus组织在LinkedIn、X(Twitter)、Facebook、GitHub、Stack Overflow等多个平台发布加密货币相关的招聘或研究项目,以此物色目标人员。其中伪造的密币相关雇主网站Hirog.io当前依然存活。
Google快照可见多个历史招聘信息。
目标人员“上钩”后,攻击者通过telegram等通讯平台进一步引诱目标人员下载安装带毒的程序。基于Node.js的投毒MERN密币项目如下。
伪造的FCCCall视频会议软件如下,存在Windows和MacOS版本。
目标人员安装带毒的项目之后,后台恶意代码机会下载安装后阶载荷展开窃密活动。
Lazarus诱导目标人员安装的带毒项目覆盖Windows、Linux、MacOS平台,后续使用的载荷多为轻量级的同类型python窃密木马,本文以Windows平台下“伪造FCCCall视频会议安装包的样本”为例进行分析。
文件名 | FCCCall.msi |
MD5 | 8ebca0b7ef7dbfc14da3ee39f478e880 |
SHA1 | 5cce14436b3ae5315feec2e12ce6121186f597b3 |
SHA256 | 36cac29ff3c503c2123514ea903836d5ad81067508a8e16f7947e3e675a08670 |
文件类型 | MSI |
文件大小 | 152.37 MB |
描述 | 伪造的FCCCall视频会议安装包,密币窃取。 |
1. FCCCall MSI安装包如下,启动程序FCCCall.exe即初始窃密木马。
2. 木马采用QT6环境开发,通过指向freeconference.com的视频会议窗口掩盖后台恶意代码执行。
3. 恶意代码初始化,C2(http://185.235.241.208:1224)、浏览器密币钱包扩展程序ID。
4. 根据默认的密币钱包扩展程序数据存储路径,窃取数据回传,URL:http://185.235.241.208:1224/uploads。
5. 此外,木马进行python环境下载、python client木马下载。
6. http://185.235.241.208:1224/client/99 -> main99.py,下载的python载荷使用lambda函数进行多层嵌套的倒序、base64解码、解压缩处理得到最终python代码实体。
7. main99.py实际为下载器木马,下载三个后阶python木马分别实现远控、窃密、按键及窗口监控等恶意功能。
8. 简要总结三个下载的python木马功能如下。
| | |
http://185.235.241.208:1224/payload/99/root | | 主机侦察、文件窃密、用户监控、shell,配置anydesk无人值守 |
http://185.235.241.208:1224/brow/99/root | | |
http://185.235.241.208:1224/mclip/99/root | | |
%userprofile%/.n2/pay主机侦察代码如下,攻击者侦察重点为加密货币相关。
使用下发的配置文件启用anydesk客户端对中马主机进行更为直接的远控。
使用多个python库用于窗口监控、进程监控、剪切板监控、按键记录。
Python窃密木马适配Windows、Linux、MaxOS三大PC平台。
目标浏览器包括chrome、opera、brave、yandex、msedge五个常见浏览器程序。
9. 核心的远控代码初始化如下,解析各类型指令功能如下表。
Index | 代码符号 | 功能描述 |
1 | ssh_obj | 执行shell |
2 | ssh_cmd | 结束python进程 |
3 | ssh_clip | 剪切板数据监控 |
4 | ssh_run | 执行bow浏览器窃密木马 |
5 | ssh_upload | 指定文件上传 |
6 | ssh_kill | 结束目标浏览器进程 |
7 | ssh_any | 启用anydesk远控 |
8 | ssh_env | 匹配*.env命名的主机文件,目标侦察 |
b8e69d6a766b9088d650e850a638d7ab7c9f59f4e24e2bc8eac41c380876b0d836cac29ff3c503c2123514ea903836d5ad81067508a8e16f7947e3e675a086706a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b0f474c840501076b1aceba06e1376cee142a7ff1fa642822f7592c92ae70578c26156127355d8016c8e741de98ee4ef2a4cb5cb02cd44f22fd3c8fef033b698305b70972c72bf8af098350f8a53ec830ddbd5c2c7809c71649c93f32a8a3f13716465f7ddc9cf8ab6714cbbd49e1fd472e19818a0babbaf3764e96552e179c9af9abf6b93eafb797a3556bea1fe8a3b7311d2864d5a9a3687fce84bc1ec4a428c7f1f51d216e621ed4fd9f5346044685a0e04c6a7fdd2c177f5d6233a67e2fd4e000b4a77b1905cabdb59d2b576f6da1b2ef55a0258004e4a9e290e9f41fb6923fca6351f0a913e3ca9df5cb0e0d5c0a05bcf580bcc57c4e858ee5378969430cddfb8c0525681d6fa8f65bbd62293c619a778f4080ebe29e41fe31b4f122000cf94076a58c29d7e7f8b5f61739ab85ada09e41cd9212bc610b89e0fde30d5de70bbad95905eb7a2b62685da98ba46aa3f19cb8a340ea71e5f85ee5b5a57aa27cb247b10932d52c9a66ef073b7bc4461828081ffe07e06f6f20e4e32895acb61ba6a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b06a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b06a104f07ab6c5711b6bc8bf6ff956ab8cd597a388002a966e980c5ec9678b5b08a23dd86da0aff9b460b8ebc9dd3e891d44ea0183ace4f5d28a7e4ddab47664a0621d37818c35e2557fdd8a729e50ea662ba518df8ca61a44cc3add5c6deb3cda87b6664b718a9985267f9670e10339372419b320aa3d3da350f9f71dff35dd104cc30ea566af31abc2fdced5f9503aab30550373124d47985fbab19ace2caa89ece783ac52c9ec2f6bdfa669763a7ed1bbb24af1e04e029a0a91954582690cf5f002c34ff4549dc73e648f0f6b487e01ef695684fffc00fb6c85914a97afdb4b5aa25da526121df9c520b622bfde5272fb686b3e12ae33e069eeb8b346ab7fdc73e3fdfeb574497c70e4a73a3dabe02ca74bc7beba3f4b9bf10f44968d20ccb5209782555a10ee0a301faf1eff698291aea0e0b298e3926eebd37dc9b5d1a46
Lazarus组织在LinkedIn、X(Twitter)、Facebook、GitHub、Stack Overflow等多个平台发布加密货币相关的招聘或研究项目,以此物色目标人员。其中伪造的密币相关雇主网站Hirog.io当前依然存活。
Google快照可见多个历史招聘信息。
目标人员“上钩”后,攻击者通过telegram等通讯平台进一步引诱目标人员下载安装带毒的程序。基于Node.js的投毒MERN密币项目如下。
伪造的FCCCall视频会议软件如下,存在Windows和MacOS版本。
目标人员安装带毒的项目之后,后台恶意代码机会下载安装后阶载荷展开窃密活动。
Lazarus诱导目标人员安装的带毒项目覆盖Windows、Linux、MacOS平台,后续使用的载荷多为轻量级的同类型python窃密木马,本文以Windows平台下“伪造FCCCall视频会议安装包的样本”为例进行分析。
文件名 | FCCCall.msi |
MD5 | 8ebca0b7ef7dbfc14da3ee39f478e880 |
SHA1 | 5cce14436b3ae5315feec2e12ce6121186f597b3 |
SHA256 | 36cac29ff3c503c2123514ea903836d5ad81067508a8e16f7947e3e675a08670 |
文件类型 | MSI |
文件大小 | 152.37 MB |
描述 | 伪造的FCCCall视频会议安装包,密币窃取。 |
1. FCCCall MSI安装包如下,启动程序FCCCall.exe即初始窃密木马。
2. 木马采用QT6环境开发,通过指向freeconference.com的视频会议窗口掩盖后台恶意代码执行。
3. 恶意代码初始化,C2(http://185.235.241.208:1224)、浏览器密币钱包扩展程序ID。
4. 根据默认的密币钱包扩展程序数据存储路径,窃取数据回传,URL:http://185.235.241.208:1224/uploads。
5. 此外,木马进行python环境下载、python client木马下载。
6. http://185.235.241.208:1224/client/99 -> main99.py,下载的python载荷使用lambda函数进行多层嵌套的倒序、base64解码、解压缩处理得到最终python代码实体。
7. main99.py实际为下载器木马,下载三个后阶python木马分别实现远控、窃密、按键及窗口监控等恶意功能。
8. 简要总结三个下载的python木马功能如下。
| | |
http://185.235.241.208:1224/payload/99/root | | 主机侦察、文件窃密、用户监控、shell,配置anydesk无人值守 |
http://185.235.241.208:1224/brow/99/root | | |
http://185.235.241.208:1224/mclip/99/root | | |
%userprofile%/.n2/pay主机侦察代码如下,攻击者侦察重点为加密货币相关。
使用下发的配置文件启用anydesk客户端对中马主机进行更为直接的远控。
使用多个python库用于窗口监控、进程监控、剪切板监控、按键记录。
Python窃密木马适配Windows、Linux、MaxOS三大PC平台。
目标浏览器包括chrome、opera、brave、yandex、msedge五个常见浏览器程序。
9. 核心的远控代码初始化如下,解析各类型指令功能如下表。
Index | 代码符号 | 功能描述 |
1 | ssh_obj | 执行shell |
2 | ssh_cmd | 结束python进程 |
3 | ssh_clip | 剪切板数据监控 |
4 | ssh_run | 执行bow浏览器窃密木马 |
5 | ssh_upload | 指定文件上传 |
6 | ssh_kill | 结束目标浏览器进程 |
7 | ssh_any | 启用anydesk远控 |
8 | ssh_env | 匹配*.env命名的主机文件,目标侦察 |
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
IoC
135.181.242.24
140.99.223.36
144.172.74.108
144.172.74.48
144.172.79.23
147.124.212.146
147.124.212.89
147.124.213.11
147.124.213.17
147.124.213.29
147.124.214.129
147.124.214.131
147.124.214.237
166.88.132.39
167.88.164.29
167.88.168.152
167.88.168.24
172.86.100.168
172.86.123.35
172.86.97.80
172.86.98.240
173.211.106.101
185.235.241.208
23.106.253.194
23.106.253.209
23.106.253.215
23.106.70.154
23.254.244.242
45.140.147.208
45.61.129.255
45.61.130.0
45.61.131.218
45.61.158.54
45.61.158.7
45.61.160.14
45.61.169.187
45.61.169.99
45.89.53.59
46.4.224.205
67.203.0.152
67.203.123.171
67.203.6.171
67.203.7.163
67.203.7.171
67.203.7.245
77.37.37.81
91.92.120.135
95.164.17.24
blocktestingto.com
de.ztec.store
hirog.io
freeconference.io
ipcheck.cloud
mirotalk.net
regioncheck.net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.99.223.36
144.172.74.108
144.172.74.48
144.172.79.23
147.124.212.146
147.124.212.89
147.124.213.11
147.124.213.17
147.124.213.29
147.124.214.129
147.124.214.131
147.124.214.237
166.88.132.39
167.88.164.29
167.88.168.152
167.88.168.24
172.86.100.168
172.86.123.35
172.86.97.80
172.86.98.240
173.211.106.101
185.235.241.208
23.106.253.194
23.106.253.209
23.106.253.215
23.106.70.154
23.254.244.242
45.140.147.208
45.61.129.255
45.61.130.0
45.61.131.218
45.61.158.54
45.61.158.7
45.61.160.14
45.61.169.187
45.61.169.99
45.89.53.59
46.4.224.205
67.203.0.152
67.203.123.171
67.203.6.171
67.203.7.163
67.203.7.171
67.203.7.245
77.37.37.81
91.92.120.135
95.164.17.24
blocktestingto.com
de.ztec.store
hirog.io
freeconference.io
ipcheck.cloud
mirotalk.net
regioncheck.net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