TAG：高级可持续攻击、危险密码、Lazarus、中国、NHT Global、UMKC、金融

TLP：白（报告转发及使用不受限制）

日期：2020-08-24

概述

近日，微步情报局监测发现一批针对国内外企业金融交易相关业务的定向攻击活动，经过深度关联分析，该批次攻击事件的幕后组织为微步在线2019年11月披露的“危险密码”（DangerousPassword）APT组织。具体情况如下：

• 本批次鱼叉式网络攻击事件中，投递载荷均为Lnk文件，在自释放（或通过谷歌在线文档下载）诱饵文档后，远程下载执行具有后门功能的javascript恶意代码。
• 使用的诱饵文件包括中文类型的“奖金计划（2020年7月).docx”、“奖金计划（2020年8月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球（中国）日用品有限公司（NHT Global）、美国密苏里大学堪萨斯分校（UMKC）。推测本次攻击时间段为2020年6月下旬至今。

• 微步在线威胁检测平台（TDP）、威胁情报管理平台（TIP）、DNS防火墙（OneDNS）、威胁情报云API均已支持该团伙最新攻击的检测。如需协助，请与我们联系：[email protected]。

  
  

详情

微步在线2019年首次披露危险密码APT组织时，攻击者投递的攻击载荷为加密的docx文件以及恶意的“Password.txt.lnk”文件两部分；在本次攻击事件中投递载荷形式稍有调整，由一个大体积的Lnk文件或涉及多步网络下载交互的Lnk文件直接实现攻击。攻击的目标行业基本维持一致，依然集中在金融交易相关的行业或业务部门。

托管于谷歌在线文档的诱饵文档内容如下所示。文档主题为然健环球（中国）日用品有限公司相关的奖金计划。

用户PC端下载后展示如下：

美国密苏里大学堪萨斯分校（UMKC）相关的诱饵文档如下。文档讲述了苏里大学堪萨斯分校师生使用Roo Bucks交易账户相关的Roo Balance应用程序设计框架。 

样本分析

攻击者投递的原始攻击载荷为压缩文件，解压后为具备下载执行功能的Lnk文件。

Lnk文件命令行执行C:WindowsSystem32mshta.exe https://bit[.]ly/3aCBejA，短域名中转后的真实域名为shop.newsbtctech[.]com。Lnk文件中可见嵌入的docx文件。

远程执行的Jscript如下所示，通过谷歌在线文档获取诱饵文档内容，内嵌的payload资源经base64解码落地，然后带参执行。

落地bpwez.js如下，传递参数为C&C地址，https://bit[.]ly/2NIurtU，短域名将跳转到真实C&C地址，newsbtctech.com。通过自定义随机函数生成用于标识中马PC的ID，将该ID发送至C&C服务器，然后进入后门执行的死循环代码，每15秒检查执行一次C&C服务器发送的payload。

整体执行流程与历史披露的攻击事件中的流程基本一致。后续C&C服务器下发插件当前暂未捕获，可参考微步在线2019年11月发布的独家披露报告。

关联拓线

1. 样本维度关联

通过lnk文件结构中用于标识文件生成的机器平台MachineID进行拓线关联。

关联样本如下：

样本名称	Hash	下载URL	真实域名
Project Management Plan.pdf.lnk	0d79b66f41858a336a385a7f6cc9e4e2fa06097b0ec422ce2d18bc6eabe5afee	https://bit.ly/2Bsovmg	drop.trailads.net
Project Management Plan.pdf.lnk	d287388e5ff978bf6f8af477460a9b76a74fdc33535e392b70e58176fc9ad805	https://bit.ly/3eIxLAZ	drop.trailads.net
奖金计划（2020年8月).docx.lnk	effd76c58906877364ad6c62ff7d8d711c83b78306e31350610a14b6610cdf1e	https://bit.ly/3aCBejA	shop.newsbtctech.com
Password.txt.lnk	ca7e5275bf45970688d3b42424f5a130d59bef2f15993b95f6438eaa37a7801f	https://bit.ly/2tsXyue	share.onedrvfile.site

分析确认所关联样本均为危险密码组织攻击样本，但当前多数下载URL失效。

2. 网络资产拓线

通过newsbtctech.com C&C域名的历史DNS解析数据进行拓线关联。

通过对关联域名whoise信息、pdns数据、关联样本等多维度关联比对，上述关联域名均为危险密码最新的网络资产。

微步在线全线产品当前已支持此次攻击事件的实时检测。

3. 同期，芬兰安全公司F-Secure对危险密码APT组织追踪发现，Javascript后门在后续会通过一段C&C下发的powershell下载最终的二进制木马，木马与卡巴斯基曾披露的Bluenoroff（Lazarus组织的一个分支）组织所使用的特马高度相似，由此可以推测，微步在线所披露的“危险密码”APT组织与Bluenoroff组织存在一定关联，结合其特定的攻击目标、攻击目的来看，危险密码”APT组织极有可能为Lazarus APT组织的一个分支机构。

点击“阅读原文”查看该事件更多IOC。

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。