起底国家级APT组织：LazarusGroup

国家级APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击。

奇安信旗下的高级威胁研究团队红雨滴（RedDrip Team）每年会发布全球APT年报^【1】、中报，对当年各大APT团伙的活动进行分析总结。

虎符智库特约奇安信集团旗下红雨滴团队，开设“起底国家级APT组织”栏目，逐个起底全球各地区活跃的主要APT组织。

Lazarus Group又名HIDDEN COBRA（美国情报界命名） 、Zinc、APT-C-26、Guardians of Peace等称号，是东亚地区某国最活跃的APT组织之一，得到该国情报部门的大力支持。

自2009年以来，被归因于该组织的攻击事件数量迅速增长。特别在2017年后，Lazarus Group加大了攻击行动力度，组织了多起影响重大的攻击事件，例如对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼行动等。

Lazarus攻击目的主要以窃取资金为主，针对银行、比特币交易所等金融机构及个人实施定向攻击，堪称全球金融机构的最大威胁。其次，Lazarus还针对航空航天、工程、技术、政府、媒体、等机构及企业进行渗透，达到窃取重要资料及破坏勒索的目的。

Lazarus早期多利用僵尸网络对目标进行DDos攻击；中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法，还针对不同人员采取定向社会工程学攻击。

Lazarus组织的攻击主要有以下特点：

• 攻击周期普遍较长，通常进行较长时间潜伏，并换不同方法诱使目标被入侵。

• 投递的诱饵文件具有极强的迷惑性和诱惑性，导致目标无法甄别。

• 攻击过程会利用系统破坏或勒索应用干扰事件的分析。

• 利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。

• 每次攻击使用工具集的源代码都会修改，并且网安公司披露后也会及时修改源代码。

1. 鱼叉攻击

通常以邮件夹带恶意文档作为诱饵，常见文件格式为DOCX，后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。

2. 水坑攻击

Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击，这样就可以在短时间内大范围盗取资金。

2017年，Lazarus对波兰金融监管机构发动水坑攻击，在网站官方网站植入恶意的JavaScript漏洞，导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织，大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。

3. 社工攻击

Lazarus擅长将社工技术运用到攻击周期中，无论是投递的诱饵还是身份伪装，都令受害者无法甄别，从而掉入它的陷阱中。

2020年期间，Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档，旨在获取凭证从而盗取目标加密货币。

2021年，Lazarus Gourp以网络安全人员身份潜伏在Twitter中，伺机发送嵌有恶意代码的工程文件攻击同行人员。从这些案例可以看出，Lazarus针对的目标越来越明确，使用手法也越来越灵活直接。

Lazarus使用的网络武器中包含大量定制工具，并且使用代码有很多相似之处。肯定地说，这些软件来自相同的开发人员，可以说明Lazarus背后有稳定的大型开发团队。

Lazarus拥有的攻击能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware，使用的恶意代码包括Destover、Duuzer和 Hangman等。

通过分析攻击案例可以看出Lazarus攻击的技术特征：

1. 擅长使用多种加密算法，包括RC4，AES， Spritz等标准算法，也使用XOR及自定义字符变换算法。

2. 主要使用虚假构造的TLS协议，通过在SNI record中写入白域名来Bypass IDS，也使用IRC、HTTP协议。

3. 通过破坏MBR、分区表或者向扇区写入垃圾数据从而破坏系统。

4. 其工具包许多组件都包括自删除脚本

5. TCP后门支持数十个命令

2009年至2012年，Lazarus Group针对韩国武装部队和政府展开长期网络间谍行动，此活动后被命名为“特洛伊行动”^【2】。2013年，Lazarus Group对韩国金融行业开展第二次攻击，后被称为“黑暗首尔行动”^【3】。这两次活动的披露使得Lazarus Group首次成为公众关注的焦点。这些活动使用的恶意软类似于 Win32/Spy.Keydoor 或者Win64/Spy.Keydoor.。

2014，索尼影视娱乐公司宣布上映《刺杀金某某》电影，引起该国强烈不满。随后，Lazarus Group入侵索尼，进行了报复式的破坏，许多内部文件和文件被窃取、泄露或删除^【4】。随后的两年，多家安全公司参与调查，最终通过Lazarus使用过的自删除文件、TCP后门中的格式字符串、动态API加载例程、混淆函数名和使用虚假TLS通信等一系列证据，将此前很多起攻击事件与索尼攻击事件一起归因至Lazarus。

2016年，Lazarus Group通过Alreay攻击组件，篡改SWIFT软件，使得其能够操作银行账号任意进行转账，窃取孟加拉央行8100万美元^【5】。此次攻击使用的自清除文件与攻击索尼公司的文件相似，因此归因于Lazarus。此外，这次攻击的流程与早年间越南、厄瓜多尔等多国银行被盗事件攻击流程相似，也同样归因于Lazarus。

2017年5月，勒索病毒“WannaCry”感染事件爆发，全球范围近百个国家遭到大规模网络攻击^【6】，Lazarus利用NSA泄露“永恒之蓝”漏洞散播勒索病毒“WannaCry”，导致目标电脑中大量文件被加密，并被要求支付比特币以解密文件。谷歌团队在WannaCry代码中发现了来自Lazarus集团黑客工具的相似性，因此归因Lazarus。2018年至2020年期间，美国司法部起诉3名Lazarus成员。

2019年9月，Lazarus成功入侵印度核电系统，由此印度紧急关闭了一座核电站^【7】。此次攻击主要针对印度原子能管理委员会成员使用鱼叉式攻击，冒充印度核能组织发送诱饵电子邮件，将带有名为“Dtrack”的恶意软件的链接附在邮件中，一旦点击链接会将恶意软件下载到计算机上。此次攻击使用的恶意软件“DTrack”与“黑暗首尔”有诸多相似之处，实现功能的方式与代码编写风格均相同，归因此事件出自Lazarus之手。

2021年1月，谷歌安全团队发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram 等社交媒体，利用虚假身份伪装成活跃的业内漏洞研究专家，博取业内信任从而对其他漏洞研究人员发动0day攻击^【8】。从此可以看出Lazarus实际上是想窃取高价值的0Day漏洞信息，从而反映出其开发网络武器的人员的可能已经“黔驴技穷”。

Lazarus攻击主要目标以窃取资金和实现政治目的为出发点，无论是在网络武器方面和攻击手段方面都能看出该国网军的实力。

随着国际对Lazarus的手段越来越明晰，其攻击的难度也会逐渐加大，未来Lazarus会长期觊0day漏洞等情报资料，不断扩充其军火库，从而提升武器储备能力。

注解

1. https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

2. https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack

3. https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war

4. https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf

5. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf

6. https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCry Ransomware.pdf

7. https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/

8. https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/