Lazarus故技重施,dream job行动再次上演

admin 2022年6月2日20:48:44安全新闻评论431 views2561字阅读8分32秒阅读模式

Lazarus故技重施,dream job行动再次上演


背景概述


近日,安恒信息CERT捕获一批以币安(Binance)开发工程师岗位招聘为诱饵的攻击事件。经过研判,我们推测本次攻击活动由Lazarus APT组织发起,攻击目标群体是币安(Binance)求职者,最终目的或是窃取加密货币。Lazarus组织攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的,自2014年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。下图为部分诱饵文档,内容是Binance相关开发工程师岗位工作描述。

Lazarus故技重施,dream job行动再次上演

Job Description页面


攻击流程


攻击活动主要使用压缩包方式投放诱饵文件,在解压后得到两个文件,Description-protected.pdf和password.txt.lnk。pdf文件受密码保护,当打开password.txt.lnk时会通过PowerShell执行远程代码,分发byPass UAC脚本、添加Defender扫描排除目录及下载者jdk.exe。最终会下载执行Cobalt Strike木马。

Lazarus故技重施,dream job行动再次上演

攻击流程


样本分析


压缩包内容如下,Description-protected.pdf和password.txt.lnk。pdf文件受密码保护,诱惑用户点击Password.txt快捷方式。

Lazarus故技重施,dream job行动再次上演

压缩包内容

点击Password.txt快捷方式,混淆的PowerShell代码会调用mshta.exe执行远程gop.hta脚本。

Lazarus故技重施,dream job行动再次上演

PowerShell混淆代码

第二阶段gop.hta脚本代码与前一阶段PowerShell代码混淆风格一致。

Lazarus故技重施,dream job行动再次上演

hta脚本代码

第二阶段hta脚本最终将解密出经过base64编码的PowerShell代码。

Lazarus故技重施,dream job行动再次上演

PowerShell脚本代码

第三阶段PowerShell脚本使用AES-ECB-256模式解密出经过Gzip格式压缩的恶意代码。

Lazarus故技重施,dream job行动再次上演

PowerShell脚本代码

AES解密内容如下,密钥为"R3l1a2N3TmRtUG54WmNEWVBIQ1NiWUtFaEtidXFIVGk="。

Lazarus故技重施,dream job行动再次上演


AES解密shellcode

第四阶段解压出Gzip压缩代码内容如下,该段代码实现以下功能:

1. 释放%AppData% gKpbD.bat、FUuTJ.bat(操作fodhelper绕过UAC、添加Defender扫描排除项);

2. 下载gdk.exe模块(gdk.exe模块请求以管理员权限运行);

3. 下载password.txt.txt(用于打开受保护的诱饵文档)。

Lazarus故技重施,dream job行动再次上演

Gzip压缩内容

经分析,gdk.exe使用C#编写,实现调用PowerShell完成远程下载功能。PowerShell代码如下,用于下载另一个名为jdk.exe的CobaltStrike木马。

Lazarus故技重施,dream job行动再次上演

PowerShell代码

最终下载得到gdk.exe是Cobalt Strike木马,回连地址为174.038.24[.]107:80

Lazarus故技重施,dream job行动再次上演

CobaltStrike代码片段


溯源关联


本次攻击活动中,攻击目标及战术与以往Lazarus组织攻击活动存在相似特征:

1. 攻击目标

a.本次攻击活动攻击目标为币安(Binance)求职者;

b.Lazarus早期攻击Binance,窃取加密货币价值2.5亿美元。

2. 诱饵文件

a.本次攻击活动使用压缩包投放诱饵文件,使用快捷方式lnk文件作为初始执行载荷;

b.“Dream Job”行动中,Lazarus使用相同的方式发起攻击。

3. 代码风格

a.本次攻击活动使用AES加密算法,PowerShell添加Defender排除项;

b.以往Lazarus活动中多次使用AES加密处理,PowerShell添加Defender排除项。


总结


Lazarus组织攻击目标与以往攻击目标吻合,该组织擅长使用社会工程学方式对攻击木马进行钓鱼。本次攻击事件中所采用战术与2020年发起的dream job行动风格相似。在本次攻击活动中Lazarus使用的代码混淆风格与以往活动中的样本不同,并且本次攻击所采用的混淆方式似乎具有更好的免杀效果。


IOC


https://mira.itb.ac[.]id/jdk.hta

https://crypto.blockchaincapital[.]space/gop.hta

https://crypto.blockchaincapital[.]space/password.txt.txt

https://crypto.blockchaincapital[.]space/jdk.exe

https://filebin[.]net/wc3oofuc28pyk63y/jdk.exe

174.038.24[.]107:80


Binance- iOS Developer Job Description -protected.zip

C8B2556411FF2CE57C5AE6F44D98AD35

Binance Careers- Java Internal Systems Developer Job Description.zip

1364F98CCAC7821D101950F716F07437

password.txt.lnk

52B0B06AB4CF6C6B1A13D8EEC2705E3B

PDF Password.txt.lnk

89A80C1C39B87754009FAF72D6DEF876

jdk.exe

BC2EAB8DFC5A0F85EB04EEB1FA19EB91

gop.hta

9FC45CD7301E1F3F3F98B8D91820AAA1

jdk.exe

03933959DE20C3D1D40567B7D7FC4F7E


安恒信息CERT


安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。



安恒信息CERT

2022年6月

原文始发于微信公众号(安恒信息CERT):Lazarus故技重施,“dream job”行动再次上演

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日20:48:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Lazarus故技重施,dream job行动再次上演 http://cn-sec.com/archives/1080507.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: