隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

admin 2022年4月20日09:03:26安全新闻评论39 views5089字阅读16分57秒阅读模式


APT-C-26
  Lazarus
2021年下半年,360高级威胁研究院发现了来自同一个组织APT-C-26(Lazarus)的多起攻击活动,自从去年七月份以来我们捕获到多个标题为 Venture Labo Investment Pitch Deck(Protected).docx  (创业实验室投资推介书(受保护).docx)的诱饵,文件的主要内容为日本东京一家风险投资公司Venture Labo Investment Co.,Ltd 的介绍。该文件是一个具有远程模板注入(CVE-2017-0199)的文档,当用户打开文档后,样本将从远程链接加载远程模板,并诱使用户启用宏,然后从远程地址获取数据注入到合法进程实现后门操作。
该活动攻击意图为窃取加密货币,与Lazarus分支组织BlueNoroff攻击载荷、流程及IOC重合,应同属BlueNoroff组织活动


1.攻击流程


该组织利用投资推介书相关诱饵文档来迷惑用户点击,用户点击文档后,文档请求远程模板数据,远程模板实际为宏文档,恶意宏加载文档目录customXml下文件item1.xml,读取数据并解密,解密后根据系统位数注入相关合法进程,随后合法进程请求服务器下载后续载荷并与C&C通讯。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


根据该组织活跃时间构建柱状图,可以看到在8月活动频次最高。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


2. 样本分析


MD5

98F765BB4201EC61A304F49A97E4F305

FileName

Venture Labo Investment Pitch Deck(Protected).docx


诱饵文档图示,该文件是一个具有远程模板注入(CVE-2017-0199)的文档, 图片为加载完模板后的界面,提示用户“信息保护控制帮助您在公司外部共享的电子邮件、敏感数据和文档,要编辑此文档,请点击 启用内容

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


当用户打开文档后,将从远程地址 https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D  获取后续数据。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


当用户点击启用宏后,将会执行攻击者精心构造的代码,宏代码首先声明 一些 API的调用。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


随后通过 attachtemplate.FullName 函数获取文档内的模板路径"C:Users用户名AppDataRoamingMicrosoftTemplatesNormal.dotm"

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


攻击者在 customXml 下item1.xml添加了自定义的xml数据。2007 Microsoft Office System 中引入了自定义 XML 部件以及 Open XML 格式。大多数 XML 部件都是内置部件,有助于定义文档的结构和状态。但是,文档也可以包含自定义 XML 部分,可以使用这些部分在文档中存储任意 XML 数据。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


运行时通过遍历customXml 比对 xmlns 值的方法找到自己添加的数据。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


找到指定数据后,将数据添加到节点。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


然后将从模板中获取的地址,追加到 node.txt后。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


并使用以下算法对 node.txt 内容进行解码。
隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

如果是 64位系统,则遍历进程获取axplonan.axa 进程的pid , 将遍历出的进程名称进行字符替换(e → a)、(r → n),寻找的 axplonan.axa 实际上为 explorer.exe ,这种方法在一定程度上可以避免安全软件的查杀。
隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

在32 位系统中,则获取 notepad.exe 的 pid。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


最后将解密的数据注入到指定的进程执行。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


随后显示出真正的诱饵文档
隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告
隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

注入 Explorer 执行的Shellcode 在运行时首先执行自解密,并动态获取一些 网络、进程相关的函数。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


接着获取当前运行的进程列表,构造post请求发送到服务器 https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=  

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


并从服务器读取数据到内存。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


利用读取的数据长度与计数器取模的结果,和读取的数据异或,解密出下一阶段的dll文件:

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

内存中解密的文件:

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


然后在注册表 SoftwareMicrosoftWindowsCurrentVersionExplorer 添加 键 AuthKey,值为: 68747470733a2f2f636c6f75642e6265656e6f732e62697a2f4e5a4c43755935377870502f7a714362576b735a4b6d2f2b3961435a38765a2f624c4f7231625953792b6e683672723463752f616a654b3957773d2f3d , AuthKey是一串 hex 编码的数据,解码后为一个远程地址 : https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


将自身添加到注册表 Run项实现持久化。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


接着 在 C:UserstestAppDataLocalMicrosoftWindows 路径下创建文件 Groove.tmp ,将解密的数据写入。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


MD5
44AD56E3EE5CEBB77830C0133E671F4E
FileName
Groove.tmp
很遗憾在分析Groove.tmp文件时,该文件使用 tmd加壳。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


在实际运行中也出现问题,可能在加壳过程中破坏了文件。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


随后再次从服务器读取数据,解密完的dll文件带参数https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/= 在内存中反射式加载。

MD5
6DCA2CF173773FE8FB9D7BA5D912B95C
首先获取当前时间、计算机名称与用户名称,使用两轮以下加密获得一个16 位 的AES密钥,用作后续数据的加密。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


运行后将获取以下信息:
信息
标识/方式
计算机及用户名称
通过 GetComputerNameW 和 GetUserNameW 方式获取
系统位数
通过32-bit、64-bit、unknown-bit 进行标识
时区
通过 GetTimeZoneInformation 获取
系统版本
通过SoftwareMicrosoftWindows NTCurrentVersionProductName 获取
系统安装时间
通过SoftwareMicrosoftWindows NTCurrentVersionInstallDate 获取
当前时间
通过 GetTickCount64 获取
硬件设备信息
通过 SYSTEMCurrentControlSetControlSystemInformation中SystemManufacturer 、SystemProductName  获取
代理信息
通过 SoftwareMicrosoftWindowsCurrentVersionInternet Settings中AutoConfigUrl、ProxyServer 获取
进程信息
通过 CreateToolhelp32Snapshot 获取

样本中的字符串均使用 手动构造字符的方式来隐藏。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


将获取的信息拼接后进行AES加密,构造post请求发送到服务器,该请求伪装成 gif/jpeg文件
隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

数据格式为 CI + AES密钥 + 加密的数据

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告


发送到服务器后,根据代码来看还有从服务器读取数据反射执行的行为,遗憾的是截止到分析,服务器上似乎并没有可用的资源提供下载,但也不排除攻击者在未来攻击中启用这些资源。

隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告



3. 关联分析


本次披露样本与lazarus分支组织BlueNoroff在攻击链方面相吻合,都是以利用远程模板文档下载后续宏,恶意宏加载文档目录customXml下文件item1.xml,读取数据并解密注入合法进程,合法进程post请求后续载荷至C&C服务器与之通讯。IOC也存在重叠的情况,域名venturelabo[.]coazureword[.]com与此前一致,因此归属同一组织攻击活动。


总结

BlueNoroff组织疑似是2016年对孟加拉国中央银行攻击的幕后黑手,该组织系Lazarus分支,随着虚拟数字货币的兴起,其攻击意图从银行慢慢转移为数字货币,该组织攻击链条完整,具备多种攻击形态,需要引起足够重视。


附录 IOC


MD5

0B409E7435F4C453FFE1F5160004DBC9

648C9479B357CFDBDFCCE497B4E6BFF5

67dc0b3d3df594094c7d5ddd2382c6c6

89099235aad37a29b7acedc96fda0037

98F765BB4201EC61A304F49A97E4F305

f26eaa212c503aaba6e5015cb8ef44b5


URL

https:// cloud[.]beenos[.]biz/_D5l8MJUYh2/xtxjq441tQ/KxQAWNWRdM/lr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D

https:// cloud[.]beenos[.]biz/gM7Sy9dz%2B/tqs%2BAikg/fK_i2afRzg/Ac0r_r1bYS/y%2Bnh6rr4/cuajeK9Ww%3D%3D

https:// cloud.beenos[.]biz/khhBou1O7LL/KSdmZ9duqH/X7RkHk5zxs/dr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D

https:// cloud[.]beenos[.]biz/MJuuKOdL0nn/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D

https:// cloud.beenos[.]biz/NbmU3%2BAd%2BnKc4nYo1/VN1mMyIelT/5y_yqr1bYS/y%2Bnh6rr4/cuajeK9Ww%3D%3D

https:// cloud[.]beenos[.]biz/BJD4k8WFV_K/xtxjq441tQ/KxQAWNWRdM/lr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D

https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D

https:// doc[.]venturelabo[.]co/bC%2BZPs40y/VgIBvJEDoX/3VADqXGLEF/sP9B4PYHt6/KN5Y%3D

https:// office[.]azureword[.]com/m4Qc3maulbY/1Iv1zX77YR/leCulaIPLo/zB4PYHt6KN/5Y%3D

https:// cloud[.]venturelabo[.]co/S9iHFiiF3B%2B%2BQ7IPP/dcYk4eENPZ/65ayMB4PYH/t6KN5Y%3D

hxxps://it[.]zvc.capital/C5MplvLKOqh/msUsLMGlyq/vAzw%2BxIt/kCYVUO1eI4/Lb9k%3D

https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=


DLL

44AD56E3EE5CEBB77830C0133E671F4E

6DCA2CF173773FE8FB9D7BA5D912B95C


参考


https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日09:03:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告 http://cn-sec.com/archives/926842.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: