破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

admin
admin
admin
101111
文章
87
评论
2021年1月27日11:16:06评论296 views字数 2150阅读7分10秒阅读模式


概述

Lazarus(APT-C-26)组织是一支来自于朝鲜半岛的APT组织,该组织长期对韩国、美国、中国、印度等国家进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。

近年来,Lazarus(APT-C-26)组织的攻击目标由传统金融行业逐步转向数字货币市场,全球加密货币组织及相关机构都成为其众矢之的。2020年,该组织除了对金融领域感兴趣外,也对全球的数十家政府机构、巨头公司开展了新一轮攻击活动,相关攻击活动因为以伪造巨头公司的招聘信息为诱饵的特色,而被安全厂商命名为"dream job"行动。

近日,Google安全小组披露了一起利用推特等社交媒体针对安全研究人员的社会工程学攻击事件。经过360高级威胁研究院的分析研判,结合360安全大脑的全网遥测,我们确认此次事件是Lazarus(APT-C-26)组织首次针对网络安全行业并筹划了一年时间以上的APT攻击行动,此次行动该组织使用了针对数字加密货币和巨头商业公司等行业相似的社会工程学手法,结合此次攻击中出现的有毒“POC”源码包等攻击技术特点,我们将此次攻击行动命名为“破壳行动”。


攻击事件还原


根据以往的情报显示,Lazarus(APT-C-26)组织擅长针对不同行业制定社会工程学攻击方案,会花较长时间融入相关行业圈,伪造行业机构身份、行业人物角色以骗取行业目标人群的信任实施攻击。此次“破壳行动”针对安全行业的攻击重点细节如下:


1.该组织于2020年10月建立了Blog技术交流网站(blog.br0vvnn[.]io)。

2.攻击活动实施期间,该组织通过Blog技术交流网站发布了多篇漏洞技术分析文章,被多家网络安全媒体转载增加了行业知名度

3.该组织成员至少在2019年8月就开始加入推特等社交媒体,准备筹备扮演安全研究人员的身份角色。至少从2020年9月开始通过社交媒体接触安全研究人员,总共花费了4个月以上的时间融入安全行业的网络社交圈。

4.该组织最终制作和发布了多个包含恶意代码的漏洞POC工程文件,以安全技术交流的方式骗取行业内的安全研究人员信任并共享有毒“POC”源码包,在安全研究人员编译有毒“POC”的过程中悄悄安装后门程序


该组织建立技术BLOG、发布漏洞分析文章、伪装安全研究人员身份进行技术交流的完整细节过程,如下图所示:

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

有毒“POC”分析

 

该组织总共通过伪装的技术Blog发布了5篇漏洞分析文章。

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

该组织在与安全研究人员交流技术的过程中,会和相关人员共享有毒的“POC”源代码包。


破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

有毒“POC”源代码包在Visual Studio的工程配置文件中加入了恶意代码,如某个POC包dxgkrnl_poc.vcxproj工程配置文件,在PreBuildEvent字段中插入了一段命令。该命令会使用Powershell执行隐藏在本地工程中的DLL荷载,在工程编译时相关的恶意代码即会被触发执行。

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

DLL荷载分析


当恶意DLL文件被加载后会自身添加到注册表RUN实现开机自启动

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

从自身解密一段数据并启动

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

参数中如存在lxUi5CZ0IV45j89Y,则解密 dll 进行反射式加载

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

解密执行的dll再从远程下载另一个dll加载执行:

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘


攻击关联分析


我们对恶意样本进行分析发现,此次攻击活动多处痕迹都明显的指向了Lazarus组织。这次攻击行动中所示使用的样本与Lazarus在过去实施的Dreamjob行动的样本(35545d891ea9370dfef9a8a2ab1cf95d),以及其释放的其他文件存在多处相似。


相同的算法

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

生成用户随机标识时,使用了相似的rand逻辑

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘


收集信息功能的代码结构

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘


此外google小组文章里提到的失陷站点,也曾在dreamjob攻击活动中的样本里出现过。

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘



总结

总览整个攻击事件,Lazarus(APT-C-26)组织从提前一年注册社交账号开始策划攻击,到持续数月发布漏洞安全相关文章,推特、github、youtube等各大平台也持续发布相关资讯,引发大量安全博客、从业人员相继转载增加行业知名度,再到最终通过社工攻击针对安全研究人员发送带有恶意代码的POC源码包,可以说是一场非常有耐心且经过精心设计的攻击行动,不难猜测攻击者将安全从业人员作为目标,最终可能导致安全研究人员所属公司被入侵渗透、重要安全漏洞研究成果被盗等严重危害。希望相关组织机构对Lazarus组织这种针对行业的渗透攻击活动提高警惕,目前360威胁情报云、360沙箱云、360APT全景雷达、360安全卫士团队版等360全线政企安全产品可支持对该组织的攻击检测,能有效保护政企机构免受该组织的攻击。



破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘
团队介绍
破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘
TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

本文始发于微信公众号(360威胁情报中心):破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月27日11:16:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   破壳行动 - Lazarus(APT-C-26)组织针对安全研究人员的定向攻击活动揭秘http://cn-sec.com/archives/255038.html

发表评论

匿名网友 填写信息