Lazarus针对航空航天行业的攻击

  • A+
所属分类:安全新闻

概述

    Lazarus(APT-C-26)集团是朝鲜半岛非常活跃的APT组织之一,该组织长期对韩国、美国、印度等国家进行渗透攻击,长期以数字货币、金融行业、航空航天行业等为攻击目标。此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。


01
诱饵文档



今年6月,我们在日常的威胁狩猎中,监测到一起朝鲜APT组织的诱饵文档样本,此次攻击以名称“Airbus工作机会机密”为诱饵,诱导受害者点击执行,当用户启用宏后,将释放后门程序执行。
诱饵以Airbus工作机会机密为主题,文档界面显示:“本文件受 Airbus SE 保护。要查看内容,请单击上方黄色栏中的‘启用编辑’和‘启用内容’”,以此诱导用户启用宏,使用工作机会、招聘信息等为诱饵也是Lazarus常用的手段。

Lazarus针对航空航天行业的攻击

当用户打开文档启用宏后,第一阶段的VBA脚本将检测当前文档名称是否为 Airbus Job Description(Airbus 职位描述)。

Lazarus针对航空航天行业的攻击

不是的话,将从远程地址hxxps:// shopweblive[.]com/airbus_job_vacancies.doc下载诱饵内容并打开。

Lazarus针对航空航天行业的攻击

下载的文档内容主要为 Airbus 公司岗位的具体描述,Airbus是欧洲一家民航飞机制造公司,于1970年由德国、法国、西班牙与英国共同创立,总部设于法国图卢兹,也是欧洲最大的军火供应制造商空中客车集团(Airbus Group)旗下的企业。攻击者假冒 Airbus 公司的名义进行攻击,根据诱饵文档内容来看,我们猜测受害对象为欧洲航空航天从业人员。

Lazarus针对航空航天行业的攻击

随后恶意VBA脚本将在 c:Drivers 目录下创建以下文件:

Lazarus针对航空航天行业的攻击


释放的文件
功能
DriverGK.tmp
base64编码的数据 (解码后为持久化lnk文件)
DriverGFD.tmp
base64编码的两个字节数据 TV(PE数据的第一个字节M)
DriverGFZCoin.tmp
base64编码的数据(PE数据)
DriverCheckTY.exe
从system32目录下拷贝的 certutil.exe (白)
DriverCFHD.tmp
DriverGFD.tmp 与 DriverGFZCoin.tmp 拼接后的数据,完成后将这两个tmp删除(解码后为PE文件)
DriverGK.lnk
使用DriverCheckTY.exe(certutil.exe)解码DriverGK.tmp 后的文件,用于解码 DriverCacheSH.exe
DriverCh.exe
从C:Windows目录下拷贝的 explorer.exe (白),通过cmd命令启动
DriverCacheSH.exe
使用DriverCheckTY.exe(certutil.exe)解码DriverCFHD.tmp后的文件
DriverConfigSX.inf      
恶意宏将内置的base64编码的数据写入以上文件,经过一系列的拼接、解码,最终通过启动lnk文件 DriverGK.lnk 来解码最终的载荷 DriverCacheSH.exe ,宏代码会判断系统位数来释放不同版本载荷。

Lazarus针对航空航天行业的攻击

以上的活动执行完后,通过 cmd命令 “cmd.exe /c explorer.exe /root,"c:DriversDriverCacheSH.exe” ,以资源管理器视图打开最后的载荷 DriverCacheSH.exe,攻击者通过层层解码、间接运行的方式执行最终载荷,在一定程度上也规避了一些安全产品的检测。

02
DriverCasheSH




样本执行后首先检查是否为带参数执行。

Lazarus针对航空航天行业的攻击


如未带参数,则创建计划任务 “Office ClickToRuns Cache Update” ;带参数,则" /update"每20分钟运行一次 DriverCacheSH.exe。

Lazarus针对航空航天行业的攻击


如带参数 /update执行,则向 "hxxs:// shopweblive[.]com/image_slider[.]png" 请求数据执行,截至到分析链接已经失效,我们暂未捕获到后续样本。

Lazarus针对航空航天行业的攻击



03
关联



此次攻击流程并无太大变化,均使用社会工程学的方式攻击军工、航空航天等行业的人员。
  • 从攻击手法看:

    1.宏中使用大量的base64编码数据,使用时经过多重解码;
    2.使用工作机会相关的诱饵文档;
  • 目标行业为:

    1.航空航天
    2.军工
均与之前的DreamJob活动有大量重合。
根据我们以往监测到的其它Lazarus 同类诱饵样本来看,攻击者似乎在有意的抹除文档创建/修改者信息,这也为后续的溯源关联增加了一些难度。
f86fb4a63cdff302af2ccf2b2663d757
rheinmetall_job_requirements.doc
cb1ae1de9487edd65c2201f1f4a36e3c
rheinmetall_job_requirements.doc
648dea285e282467c78ac184ad98fd77
general_motors_cars.doc
d4a8923414daf0fe1ac7eed22645dff3

14ac5a43c99770409f15bc4a4e0e724d

a9e277f7fa7b5b4cc9236175754ffd11

0198aef369ed3da11469972d51eec9a8

释放的文件信息与之前的活动对比:
Lazarus针对航空航天行业的攻击

Lazarus针对航空航天行业的攻击


启动最终载荷,历史活动使用命令 “cmd /c mavinject.exe "explorer.exe_pid /injectrunning c:DriversDriverGFX.tmp” 注入执行,这次使用 “cmd.exe /c explorer.exe /root,"c:DriversDriverCacheSH.exe”  直接执行。

Lazarus针对航空航天行业的攻击

Lazarus针对航空航天行业的攻击


End


附录 IOC


4fb3bd661331b10fbd01e5f3e72f476c
9a8fa039929c0be8309fb78bdff5b31c(白文档)
B7DBB3BEF80D04E4B8981AB4011F4BFE
9e54e1a831824f2cca3bbc2d8c5db108(32位载荷)
f86fb4a63cdff302af2ccf2b2663d757      
cb1ae1de9487edd65c2201f1f4a36e3c      
648dea285e282467c78ac184ad98fd77      
d4a8923414daf0fe1ac7eed22645dff3      
14ac5a43c99770409f15bc4a4e0e724d      
a9e277f7fa7b5b4cc9236175754ffd11      
0198aef369ed3da11469972d51eec9a8

hxxps:// shopweblive[.]com/airbus_job_vacancies.doc
hxxs:// shopweblive[.]com/image_slider[.]png


Lazarus针对航空航天行业的攻击
团队介绍
Lazarus针对航空航天行业的攻击
TEAM INTRODUCTION
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
Lazarus针对航空航天行业的攻击
转发,点赞,在看,安排一下?

本文始发于微信公众号(360威胁情报中心):Lazarus针对航空航天行业的攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: