一
背景概述
近日,安恒信息CERT捕获一批以币安(Binance)开发工程师岗位招聘为诱饵的攻击事件。经过研判,我们推测本次攻击活动由Lazarus APT组织发起,攻击目标群体是币安(Binance)求职者,最终目的或是窃取加密货币。Lazarus组织攻击目标遍布全球,最早的活动时间可以追溯至2007年,其主要目标包括国防、政府、金融、能源等,早期主要以窃取情报为目的,自2014年后进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。下图为部分诱饵文档,内容是Binance相关开发工程师岗位工作描述。
Job Description页面
二
攻击流程
攻击活动主要使用压缩包方式投放诱饵文件,在解压后得到两个文件,Description-protected.pdf和password.txt.lnk。pdf文件受密码保护,当打开password.txt.lnk时会通过PowerShell执行远程代码,分发byPass UAC脚本、添加Defender扫描排除目录及下载者jdk.exe。最终会下载执行Cobalt Strike木马。
攻击流程
三
样本分析
压缩包内容如下,Description-protected.pdf和password.txt.lnk。pdf文件受密码保护,诱惑用户点击Password.txt快捷方式。
压缩包内容
点击Password.txt快捷方式,混淆的PowerShell代码会调用mshta.exe执行远程gop.hta脚本。
PowerShell混淆代码
第二阶段gop.hta脚本代码与前一阶段PowerShell代码混淆风格一致。
hta脚本代码
第二阶段hta脚本最终将解密出经过base64编码的PowerShell代码。
PowerShell脚本代码
第三阶段PowerShell脚本使用AES-ECB-256模式解密出经过Gzip格式压缩的恶意代码。
PowerShell脚本代码
AES解密内容如下,密钥为"R3l1a2N3TmRtUG54WmNEWVBIQ1NiWUtFaEtidXFIVGk="。
AES解密shellcode
第四阶段解压出Gzip压缩代码内容如下,该段代码实现以下功能:
1. 释放%AppData% gKpbD.bat、FUuTJ.bat(操作fodhelper绕过UAC、添加Defender扫描排除项);
2. 下载gdk.exe模块(gdk.exe模块请求以管理员权限运行);
3. 下载password.txt.txt(用于打开受保护的诱饵文档)。
Gzip压缩内容
经分析,gdk.exe使用C#编写,实现调用PowerShell完成远程下载功能。PowerShell代码如下,用于下载另一个名为jdk.exe的CobaltStrike木马。
PowerShell代码
最终下载得到gdk.exe是Cobalt Strike木马,回连地址为174.038.24[.]107:80
CobaltStrike代码片段
四
溯源关联
本次攻击活动中,攻击目标及战术与以往Lazarus组织攻击活动存在相似特征:
1. 攻击目标
a.本次攻击活动攻击目标为币安(Binance)求职者;
b.Lazarus早期攻击Binance,窃取加密货币价值2.5亿美元。
2. 诱饵文件
a.本次攻击活动使用压缩包投放诱饵文件,使用快捷方式lnk文件作为初始执行载荷;
b.“Dream Job”行动中,Lazarus使用相同的方式发起攻击。
3. 代码风格
a.本次攻击活动使用AES加密算法,PowerShell添加Defender排除项;
b.以往Lazarus活动中多次使用AES加密处理,PowerShell添加Defender排除项。
五
总结
Lazarus组织攻击目标与以往攻击目标吻合,该组织擅长使用社会工程学方式对攻击木马进行钓鱼。本次攻击事件中所采用战术与2020年发起的“dream job”行动风格相似。在本次攻击活动中Lazarus使用的代码混淆风格与以往活动中的样本不同,并且本次攻击所采用的混淆方式似乎具有更好的免杀效果。
六
IOC
|
https://mira.itb.ac[.]id/jdk.hta |
|
https://crypto.blockchaincapital[.]space/gop.hta |
|
https://crypto.blockchaincapital[.]space/password.txt.txt |
|
https://crypto.blockchaincapital[.]space/jdk.exe |
|
https://filebin[.]net/wc3oofuc28pyk63y/jdk.exe |
|
174.038.24[.]107:80 |
|
Binance- iOS Developer Job Description -protected.zip |
C8B2556411FF2CE57C5AE6F44D98AD35 |
|
Binance Careers- Java Internal Systems Developer Job Description.zip |
1364F98CCAC7821D101950F716F07437 |
|
password.txt.lnk |
52B0B06AB4CF6C6B1A13D8EEC2705E3B |
|
PDF Password.txt.lnk |
89A80C1C39B87754009FAF72D6DEF876 |
|
jdk.exe |
BC2EAB8DFC5A0F85EB04EEB1FA19EB91 |
|
gop.hta |
9FC45CD7301E1F3F3F98B8D91820AAA1 |
|
jdk.exe |
03933959DE20C3D1D40567B7D7FC4F7E |
七
安恒信息CERT
安恒信息CERT是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Lazarus故技重施,“dream job”行动再次上演
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论