Lazarus 近期针对军工等行业的定向攻击活动分析

admin

102505
文章

87
评论

2021年6月2日16:39:02评论33 views字数 4266阅读14分13秒阅读模式

Lazarus 近期针对军工等行业的定向攻击活动分析

1. 概述

2. 详情

2.1 伪装"莱茵金属"公司工作要求

2.2 以韩国企业"大宇造船"相关话题为诱饵

3. 样本分析

3.1 伪装"莱茵金属"公司工作要求样本

3.2 以韩国企业"大宇造船"相关话题为诱饵样本

4. 关联分析

5.结论

附录-IOC

概述

Lazarus组织为境外大型APT组织，是当前活跃度最高的APT组织之一。该组织实力强劲，其攻击目标涵盖政府、国防、研究中心、金融、能源、航空航天、运输、加密货币等诸多具有高经济价值的行业领域，并且擅长针对不同行业实施精准的社会工程学攻击。

微步情报局近期通过威胁狩猎系统监测到Lazarus组织针对国防军工行业的攻击活动，结合以往该组织针对军工行业的攻击活动，一并分析有如下发现：

攻击者在此次攻击活动中冒充德国军工企业“莱茵金属”公司，以“工作要求”为主题向目标投递带有恶意宏的诱饵文档，Lazarus组织经常以目标所在行业头部企业的招聘信息为诱饵进行攻击活动；
此外还以韩国军工企业“大宇造船”相关话题为诱饵进行攻击；
诱饵文档中的恶意宏利用多阶段组件来执行恶意行为，最终加载执行远控模块，实现对目标主机的远程控制；
攻击者将事先入侵的站点作为C2通信服务器，这在Lazarus以往的攻击活动中经常看到；
结合该组织以往攻击活动样本分析，从执行流程上看具有高度相似性，但细节有一定程度变化，表明攻击者在持续开发并优化其攻击组件；
微步情报局通过对相关样本、IP和域名的溯源分析，提取多条相关IOC用于威胁情报检测。微步在线威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。

详情

2.1 伪装“莱茵金属”公司工作要求

诱饵文档以德国军工企业“莱茵金属”工作要求为主题，诱导用户启用宏。

Lazarus 近期针对军工等行业的定向攻击活动分析

图[1].含有宏的诱饵文档

莱茵金属公司（Rheinmetall）是德国一家战斗车辆武器配件及防卫产品制造商，现为德国国内最大的军工企业集团，业务遍及全世界。攻击者假冒该公司名义疑似为针对其所在行业公司进行钓鱼攻击。

当启用宏后，恶意宏将文档内容修改为看似正常的文字图片内容。

图[2].启用宏后的诱饵文档

图[3].执行流程图

2.2 以韩国企业“大宇造船”相关话题为诱饵

攻击者以“大会决议草案”为主题作为诱饵文档进行攻击，诱导用户启用宏，文档内容大意是反对韩国政府出售“大宇造船厂”的相关内容。

Lazarus 近期针对军工等行业的定向攻击活动分析

图[4].启用宏前后

“大宇造船”是韩国三大造船公司之一，也是韩国的主要军工企业。攻击者以该公司相关话题为诱饵进行攻击，疑似针对相关行业人士进行定向攻击。

图[5].执行流程图

样本分析

3.1 伪装“莱茵金属”公司工作要求样本

从文档信息中可以看到其codepage为朝鲜语。

图[6].诱饵文档的摘要信息

执行恶意宏后，在目标主机创建目录C:Drivers，用于释放恶意模块。

图[7].诱饵文档中的恶意宏

利用系统组件在此目录释放执行后门模块。

Lazarus 近期针对军工等行业的定向攻击活动分析

之后利用系统组件mavinject.exe将恶意模块DriverGFE.tmp注入到系统进程explorer.exe中执行。

Lazarus 近期针对军工等行业的定向攻击活动分析

攻击者在以上的执行流程中使用多种系统组件来完成恶意行为，在一定程度上规避了一些安全产品的检测。

后门模块文件信息：

Lazarus 近期针对军工等行业的定向攻击活动分析

恶意模块被注入执行后，将会在主机设置计划任务以建立持久性机制。

图[8].后门模块DllMain反汇编代码片段

将主机上设置的计划任务名称伪装成“Office Feature Updates Task”，调用系统组件rundll32.exe来执行后门模块的导出函数updateCache。

图[9].在主机上建立的计划任务

在导出函数updateCache中，每隔10分钟从服务器https://wicall.ir/logo.png请求下载分发其他恶意模块数据。

图[10].从服务器下载数据的后门模块

成功从服务器下载恶意模块数据后，将会在内存中展开执行。

图[11].在内存中加载执行恶意模块

3.2 以韩国企业“大宇造船”相关话题为诱饵样本

诱饵文档携带的恶意宏得到执行后，首先会弹出一个消息框，待用户点击之后才会继续执行流程，其使用Base64将所使用字符串解码，在主机Temp目录释放相关文件。

图[12].诱饵文档中的恶意宏

使用函数WIA_ConvertImage 将所释放的image003.png转换为存储恶意hta数据的image003.zip，之后使用系统组件mshta.exe来加载执行image003.zip。

图[13].包含WIA_ConvertImage函数的恶意宏

图[14].将image003.png转换为image003.zip

在image003.zip中，嵌入了经过混淆的javascript脚本代码，执行后解码出恶意模块数据保存到主机目录执行C:/Users/Public/Downloads/Winvoke.exe并运行。

图[15].在javascript中释放木马模块

Winvoke.exe中添加了大量无效的系统调用以混淆执行流程，其通过下图中的算法以密钥“*$LvOAgHyZ)dM”从.KDATA区段中解密出核心RAT模块，并在内存中加载执行。

图[16].Winvoke.exe中的异或解密算法

RAT模块执行后，首先创建互斥体“Microsoft32”，确保木马不会重复运行，之后解密出3组配置C2服务器，其中2个C2服务器配置是相同的。

http://www.jinjinpig.co.kr/Anyboard/skin/board.php

http://mail.namusoft.kr/jsp/user/eam/board.jsp

http://mail.namusoft.kr/jsp/user/eam/board.js

图[17].RAT模块中配置的C2服务器

接着异或解密出lnk文件名“Visor 2010 Launcher.lnk ”，在主机开机启动目录生成lnk文件运行木马模块，以建立持久性机制。

图[18].生成的lnk文件

之后与C2服务器以HTTP协议通信，通信数据使用RC4算法加密。

图[19].以HTTP协议与C2服务器通信

可响应C2服务器以下指令：

Lazarus 近期针对军工等行业的定向攻击活动分析

每个指令执行完毕后会有Success、FAIL或执行结果作为回显数据，使用RC4加密后，伪装成文件类型数据头(test.gif)，回传给C2服务器。

图[20].向C2服务器回传数据

此外，我们还看到一些同类型的诱饵文档样本，虽然从文档内容上来看没有明确的指向性，但其作者信息、文档创建时间、嵌入的恶意宏以及最终执行的RAT模块均与上述样本类似，属同源样本，推测为针对企业特定人员攻击。

Lazarus 近期针对军工等行业的定向攻击活动分析

这些样本以“报名表格式”、“生活费支付”、“简历”等相关内容为诱饵进行攻击，其整体执行流程与上述样本相似。

图[21].风格一致的诱饵文档

关联分析

Lazarus擅长使用社会工程学方案进行攻击，在去年曾针对航空企业进行过以“DreamJob”为名的攻击活动。该活动与冒充“莱茵金属”公司所使用的社会工程学方案如出一辙，都是向目标发送特定行业公司的职位说明相关诱饵文档进行攻击。

在去年4月份，该组织曾以美国军工企业“诺思罗普·格鲁曼”（Northrop Grumman）和“通用电气”相关工作岗位信息作为诱饵针对军工企业进行攻击。

Lazarus 近期针对军工等行业的定向攻击活动分析

图[22].诱饵文档截图

当时所使用的恶意宏与此次攻击活动中出现的恶意宏有较大区别，但两者均遵循了同一个规则，即使用多种系统组件进行打包、解包、执行等恶意操作，以尽可能的规避一些安全产品的检测。

图[23].使用多种系统组件从C2服务器下载恶意载荷

Lazarus还经常批量入侵站点，将失陷站点作为C2通信服务器，这在Lazarus大多数攻击活动中都曾出现过。在去年的针对军工企业的攻击活动中，就曾入侵一家疑似在线教育网站作为C2通信服务器，其管理后台存在弱口令缺陷，这可能是Lazarus可以成功入侵的原因之一。

图[24].被Lazarus入侵存在弱口令缺陷的站点

攻击者在此次攻击活动中使用的RAT模块与多起以往攻击活动中的样本具有关联性，例如 Lazarus 经常在 RAT 模块中配置3组C2服务器（即使重复），使用特定算法解密。

图[25].RAT模块中配置的C2服务器

以及高度相似的内存加载PE模块部分。

图[26].内存加载PE模块反汇编代码对比

结论

Lazarus APT组织一直保持着很高的活跃度，窃取高价值情报和获取经济利益是其主要攻击目的，为了提升攻击有效性，Lazarus一直在持续开发并改进其工具集以及军火库。

利用社会工程学方案攻击是Lazarus的显著特征之一，在近两年的时间内，该组织进行了多起类似方案的攻击活动，譬如“DreamJob”、“针对安全研究人员的攻击”等。在这些攻击活动中，Lazarus展现了其极强的耐心以及行动保障能力。社会工程学攻击将会在以后的攻击活动中越来越突出，微步情报局会对相关攻击活动持续进行跟踪，及时发现安全威胁并快速响应处置。

- END -

公众号内回复“la”，可获取完整 PDF（含 IOC）报告。

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载，请微信后台留言：转载+转载平台+转载文章

2. 内容引用，请注明出处：以上内容引自公众号“微步在线研究响应中心”

本文始发于微信公众号（微步在线研究响应中心）：Lazarus 近期针对军工等行业的定向攻击活动分析

左青龙
微信扫一扫

右白虎
微信扫一扫

Lazarus 近期针对军工等行业的定向攻击活动分析

软件开发者被骗安装恶意软件的虚假npm包

密码管理乱象：九成用户靠好记性和烂笔头

网安简报【2024/4/27】

Spyware.Joker分析报告

管控设备接入，规范使用范围，IP-guard助力落实移动存储设备管理

分析新BBTok 恶意银行软件变体的服务器端组件

泄露用户隐私，智能门铃厂商Ring遭重罚

蠕虫爆发，PlugX新变种感染250万主机

iMessage 零点击RCE利用被曝现身黑客论坛

深度丨隐私计算技术标准化路径分析与建议

发表评论

在线咨询

微信