APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

admin 2022年7月17日03:11:15安全新闻评论54 views2304字阅读7分40秒阅读模式
APT-C-26
  Lazarus
2022年上半年,360高级威胁研究院发现了来自Lazarus组织的攻击活动,本次攻击活动伪装为Alibaba相关组件进行攻击,载荷组件与NukeSped家族相关,后续载荷以窃取目标相关文件信息为主,可以推断是针对特定领域或者人群进行的攻击行动,本次攻击行动针对性强、隐蔽性强,目前视野内中招用户涉及韩国软件企业Hancom Secure相关。

1.攻击流程


该组织利用伪造Alibaba相关程序并注册服务实现伪造组件的持久化,涉及伪造组件alibabaprotect.db、alibabaconf.bat,伪造组件释放后续载荷HttpUploader,实际主要为根据载荷参数上传用户特定目录下文件信息。值得注意的是连接C&C地址与上传目录均以参数形式传递至伪造组件,以达到关键信息与载荷分离目的。
APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告


2. 样本分析


MD5
b25f1917d45fd0db2c82feb239b9e69e
FileName
alibabaprotect.db
PDB
W:DevelopToolHttpUploaderHttpPOSTPro_BINRUNDLL64sqlite3.pdb

样本调用rundll32执行,参数有6个,分别由载荷名、固定编码、C&C、本地上传路径等元素构成。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

样本功能集中在导出函数sqlite3_connect;

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

申请堆空间,在申请的堆空间拷贝标志字符串“a ”(0x6120);

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

解析Unicode命令行字符串并返回指向命令行参数的指针数组。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

判断传入参数1是否为大于等于6,且argv+8取地址获取到参数(S0RMM-50QQE-F65DN-DCPYN-5QEQA)判断长度是否为29,满足条件则继续执行。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

读取下阶段载荷并解密,解密算法如下,第二阶段载荷通过XOR解密,载荷从末尾开始的每个字节都移动至前一个字节。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

对v16前两个字节赋值0x8406:

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

根据传入case 参数6 执行函数,函数参数1为解密的后续载荷、参数2为载荷长度,参数3(v16)为C2地址。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

获取当前进程页面大小并申请空间释放下一个阶段的载荷,并跳转至程序入口点。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

参数1为二阶段载荷地址,参数2为0x1,参数3为C&C地址。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告


第二阶段载荷分析

申请空间并传入C2字符串,判断前面2个字节是否为0x8406。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

二阶段执行后会创建一个线程,参数为C2。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

代理设置Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Win64; x64; Trident/7.0; .NET4.0C; .NET4.0E)。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

访问请求地址http://www.stracarrara[.]org/public/photos/image/image.asp,获取数据。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

CreateFile 打开文件c:ProgramDataAlibabacfpconfg.out文件并读取。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

判断是否有读取到文件,读取到文件跳转至http相关函数发送至C2,没有读取到文件则退出程序。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

继续跟进可以发现后续请求格式。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

3. 关联分析


本次Lazarus行动,关联至NukeSped家族,大多数加载NukeSped的恶意软件都会检查命令行参数,并且只有在给出预期参数时才继续执行恶意程序。这是该恶意软件家族加载程序中的一个常见特性。

本次伪造载荷加载由6个参数组成,与之前披露的参数数量是一致的,第二个参数固定为字符串S0RMM-50QQE-F65DN-DCPYN-5QEQA,第三个参数为C&C地址,第四个参数为本地上传路径。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

当执行解密的内存有效载荷时,它会将传递的配置数据的标头与字符串“ 0x8406”进行比较,与之前披露的NukeSped特征相同。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

后续请求格式与NukeSped字符串特征相同

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

解密算法与之前披露的NukeSped解密后阶段载荷相似,通过XOR解密,载荷从末尾开始的每个字节都移动至前一个字节。

APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

在分析同目录样本过程中发现有利用服务启动Mimikatz解密的操作,服务名为PCAudit,推测解密后的数据为载荷参数中本地将要上传的文件,之前披露的NukeSped组件也存在利用Mimikatz解密的操作。


总结

APT-C-26(Lazarus)组织本次攻击目的明确,攻击手段隐蔽性强,C&C与上传路径均以参数形式传递,并且后续载荷不落地,完全在内存中运行。本次攻击行动第一目标是以收集有价值信息为主,在进行针对性信息收集工作完成后不排除有相关后续行动,需要引起足够重视。


附录 IOC


MD5


b25f1917d45fd0db2c82feb239b9e69e
F96C39248A93E1248C623F991C5DD8AA
URL

http://www.stracarrara[.]org/public/photos/image/image.asp
https://www.namchuncheon.co[.]kr/html/notice/list.asp
31.11.32[.]79:80
59.30.197[.]202:443

参考


https://securelist.com/lazarus-threatneedle/100803/






360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日03:11:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  APT-C-26(Lazarus)组织伪造电商组件攻击活动分析报告 http://cn-sec.com/archives/1180672.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: