概述
Lazarus APT組織是一個長期活躍的組織,因為2014年攻擊索尼影業而開始受到廣泛關注,該組織早期主要針對韓國,美國等國家的政府機構進行攻擊活動,以竊取情報等信息為目的。自2014年後,該組織開始針對全球金融機構,加密交易機構等為目標,進行斂財活動。
近期,奇安信威脅情報中心紅雨滴團隊在日常的APT樣本追蹤中,捕獲一例利用心理測驗為誘餌的Lazarus攻擊樣本,該樣本通過宏釋放PowerShell腳本執行,從而控制受害者計算機。奇安信威脅情報中心通過溯源關聯,捕獲另一例針對macOS的攻擊樣本,並在發現此次攻擊活動的第一時間通過社交媒體進行預警。
樣本分析
奇安信威脅情報中心紅雨滴團隊通過捕獲到的針對Windows平臺的惡意宏文檔進行詳細分析,並關聯到該組織針對macOS平臺攻擊的惡意樣本,針對這兩個平臺的樣本詳細分析如下。
誘餌文檔
MD56850189bbf5191a76761ab20f7c630ef作者Windows User修改時間2019:10:22 02:53:14
本次攻擊活動攻擊者使用心裡測驗相關內容為誘餌,誘導用戶啟用宏:
啟用宏需要點擊文檔中的笑臉圖標,從而執行惡意宏代碼:
惡意宏代碼執行後會將惡意PowerShell代碼寫入到%temp%目錄下並通過PowerShell.exe執行:
PowerShell腳本分析
釋放的PowerShell腳本是一個後門,硬編碼了三個C2地址:
執行後與內置的C2服務器進行通信,若通信失敗,則休眠一段時間嘗試連接其他C2地址:
最後從C2獲取命令執行,根據不同的命令執行不同功能:
其支持的後門命功能如下表所示:
命令ID功能2設置休眠時間3結束本進程11獲取本機基本信息上傳12檢查惡意程序當前狀態14顯示當前惡意程序配置15更新惡意程序C2等配置18通過cmd執行命令20上傳指定文件21下載文件保存到指定文件24執行命令
部分惡意功能代碼對應如下:
獲取本機計算機名、IP地址、系統版本號等信息並上傳:
通過CMD執行C2下發的命令:
更新C2服務器配置信息:
上傳指定的文件:
下載文件保存到指定位置:
macOS Backdoor分析
經過關聯分析,奇安信威脅情報中心關聯到使用相同C2且針對macOS平臺的攻擊樣本,樣本基本信息如下:
文件名Album.app.zipMD5a8096ddf8758a79fdf68753190c6216a
樣本解壓後是macOS上的app應用程序,目錄結構如下:
當點擊啟動app應用程序時,系統會從info.plist中獲取應用信息。info.plist文件包括圖標,可執行二進制文件名稱,加載界面文件等對應用程序的基本描述。該惡意Flash Player通過info.plist執行起來:
Flash Player運行後首先從自身偏移0x1340,截取大小0x6c74的數據保存到.FlashUpdateCheck:
之後寫入配置文件com.adobe.macromedia.flash.plis,並通過launchctl load加載配置文件,從而使配置文件生效並實現.FlashUpdateCheck的自啟動:
接著使用chmod命令提升.FlashUpdateCheck權限:
.FlashUpdateCheck文件相關信息如下:
文件名.FlashUpdateCheckMD5bac54e7199bd85afa5493e36d3f193d2
該文件具有後門功能,功能與前述PowerShell後門基本一致,且同樣硬編碼了三個C2地址:
其運行後會與C2通信獲取需要執行的指令:
之後根據C2指令執行不同的惡意功能:
對應的功能列表如下:
命令ID功能2設置休眠時間3結束本進程11獲取本機基本信息上傳12檢查惡意程序當前狀態14顯示當前惡意程序配置15更新惡意程序C2等配置18通過bash執行命令19執行其他命令20上傳指定文件21下載文件24通過system執行25通過system執行
溯源與關聯
通過對本次攻擊活動的後門代碼以及TTPs(戰術、技術及步驟)分析,奇安信威脅情報中心推測本次攻擊活動的幕後黑手疑似Lazarus APT組織,相關分析如下。
相似的後門
本次攻擊所使用的PowerShell腳本和Lazarus APT組織歷史使用的腳本基本一致:
本次捕獲到的惡意macOS 樣本與Lazarus APT組織之前使用的樣本的主要流程基本一致:
且C2在奇安信威脅情報大數據平臺(ti.qianxin.com)已打上Lazarus APT的標籤:
綜上,本次捕獲的攻擊樣本應該是出自臭名昭著的Lazarus APT團伙。
總結
Lazarus 團伙是一個長期活躍的APT組織,武器庫十分強大,擁有對多平臺進行攻擊的能力,近年來,該團伙多次被安全廠商披露,但從未停止進攻的腳本,反而越發活躍,攻擊目標也越發廣泛。同時,該團伙也多次針對國內進行攻擊活動,企業用戶在日常的工作中,切勿隨意打開來歷不明的郵件附件。
目前,基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對此類攻擊的精確檢測。
IOCs
MD5
6850189bbf5191a76761ab20f7c630ef
a8096ddf8758a79fdf68753190c6216a
URL
hxxps://crabbedly.club/board.php
hxxps://craypot.live/board.php
htxxps://indagator.club/board.php
參考鏈接
https://twitter.com/RedDrip7/status/1186562944311517184
https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/
歡迎登錄安全客 - 有思想的安全新媒體www.anquanke.com/ 加入交流群814450983 獲取更多最新資訊吧
閱讀更多 安全客 的文章