TAG:高级可持续攻击、Lazarus、Windows、MacOS
Lazarus 组织是一个长期活跃的 APT 组织,因为 2014 年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国、日本、美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自 2014 年后,该组织开始将全球金融机构,加密交易机构等为目标,进行敛财活动。今年 7 月,我们发布了一篇《泡菜的味道:Lazarus 组织在 MacOS 平台上的攻击活动分析》揭露了 Lazarus 组织在 2019 下半年至 2020 上半年在加密货币方面的攻击活动。近期,通过对该组织的持续监控,微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化。近期攻击活动使用的攻击样本对加密货币的用户有针对性,而且更加隐蔽,不易被发现。
-
Lazarus 组织在加密货币方面的攻击活动持续活跃,使用的样本在不断演化中。
-
Lazarus 组织在 Windows 和 MacOS 平台上对加密货币方面的用户进行针对性的攻击,而且更加隐蔽。
-
Lazarus 组织使用失陷机器作为临时 C&C 服务器来隐藏活动痕迹。
-
微步在线通过对相关样本、IP 和域名的溯源分析,共提取 29 条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台(TDP)、威胁情报管理平台(TIP)、威胁情报云 API、安全 DNS(OneDNS)等均已支持对此次攻击事件和团伙的检测。
Lazarus Group 是一个网络犯罪组织,至少从 2009 年以来一直活跃,据报道是 2014 年 11 月索尼影视娱乐的攻击主要主导者。 它发起了一个被称为“Operation Blockbuster”的网络攻击活动。Lazarus Group 还发起了 Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul 和 Ten Days of /Rain 网络攻击活动。Lazarus 组织是一个长期活跃的 APT 组织,因为 2014 年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国、日本、美国等国家的政府机构进行攻击活动,以窃取情报等信息为目的。自 2014 年后,该组织开始将全球金融机构,加密交易机构等为目标,进行敛财活动。尤其是 2018 年以来,Lazarus 组织在 MacOS 平台上的攻击活动日渐活跃。该组织曾于 2018 年 8 月被曝光制作加密货币交易网站 “Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广 Windows 和 macOS 两种平台下带有后门的交易软件,继续对加密货币生态相关公司发起定向攻击。
微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化。近期攻击活动使用的攻击样本在运行后会检查运行环境再释放恶意代码文件,恶意代码运行后会修改配置实现自启动,之后连接 Lazarus 组织控制的失陷机器,接受攻击者的命令并进行下一阶段的攻击活动,对加密货币的用户有针对性,而且更加隐蔽,不易被发现。
本文从下列角度对 Lazarus 组织近期在加密货币方面的攻击活动进行分析:
5. Lazarus 在加密货币方面攻击的 TTPs(MITRE ATT&CK Framework)
分析近期 Lazarus 组织在加密货币方面的攻击活动,Lazarus 组织依旧采用钓鱼的手法,首先制造虚假的加密货币交易网站,然后诱导用户下载含有恶意代码的加密货币交易客户端并安装运行。通过对客户端的分析,我们发现其在杀毒引擎的检出率很低(图1),并且使用失陷网站来作为 C&C 服务器,然后再进行下一阶段的攻击活动。相比于之前的攻击活动,近期的攻击活动更有针对性,更加隐蔽,不易被发现。
以 esilet.com(Lazarus 组织制造的虚假加密货币交易网站)为例。搜索引擎的记录(图2)的关键词 blockchain technology,Top Cryptocurrencies by Market 等均与加密货币相关。esilet.com 页面上有多种加密货币交易价格等信息(图3)。该虚假加密货币交易网站的目标是用户去下载攻击者精心制造的含有恶意代码的客户端 APP(图4)。
以样本 MD5: 53d9af8829a9c7f6f177178885901c01(MacOS 版本)为例。该样本的主程序 /MacOS/Esilet 会加载运行 /Contents/Frameworks/Esilet Helper (Renderer) 应用,释放恶意代码到 /var/folders/7d/7skpstwd7qnctfwpwp7225xw0000gn/T/Esilet-tmpg7lpp ,然后加载运行 (/bin/sh -c) 该恶意程序 Esilet-tmpg7lpp。
Esilet-tmpg7lpp 会在 /Library/LaunchDaemons/ 目录下添加配置文件,RunAtLoad 设为 true,来实现开机自启动。
Esilet-tmpg7lpp 连接到攻击者控制的失陷机器获取下一步指令,目前相关链接已无正常响应。
以 sub_100002920 函数为例,该函数具备的功能是运行命令 sh -c sw_vers 来收集设备信息,然后返回给攻击者控制的失陷机器。
sub_1000036A0 函数具备的功能是执行攻击者返回的 shell 命令。
样本 MD5: 40858748e03a544f6b562a687777397a(Windows 版本)是 Lazarus 组织在 Windows 平台使用的组件,在函数 iAppleCloud 中使用反射式注入手法在内存中加载自身。
其使用字符串以加密形式存储,使用的时候动态解密,且使用的相关 API 也以动态获取形式使用,首先创建一个挂起的系统进程 mspaint.exe。
然后将自身注入到 mspaint.exe 进程中执行。
收集主机信息,包括系统版本、系统架构、systeminfo、杀软信息、网卡信息、磁盘信息、进程列表、CPU 信息的等等并加密。
尝试循环连接 5 个URL,将收集到的主机信息以 POST 方法发送至服务器,而这 5 个链接均为 Lazarus 组织所控制的失陷机器,目前链接已无正常响应。
|
http://drei-schneeballen.de/wp-content/plugins/nextgen-gallery/view.php
|
|
https://qwerty.creativehonduras.com/wp-includes/class-wp-redirect.php
|
|
http://www.urbankizomba.se/wp-content/plugins/photo-gallery/filemanager/upload.php
|
|
http://tag-cloud-photo.freeware.filetransit.com/login.php
|
|
http://funny-pictures.picphotos.net/saint-louis-senior-photos-senior-pictures-seniors-st-louis-st-louis/upload.php
|
|
|
|
|
|
|
|
|
固定字符串 "*&FK@lc19kfb6;dsfg)4" 和参数 ident 的 base64 编码
|
|
|
|
然后将服务器返回数据保存到指定目录下,并为其创建进程执行。
|
|
|
|
|
|
|
C=US, O=Cloudflare, Inc., CN=Cloudflare Inc ECC CA-3
|
|
|
|
C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
|
|
|
|
|
|
|
5. MITRE ATT&CK Framework (Lazarus, TTPs)
Lazarus 组织在加密货币方面的攻击虽然已被曝光多次,但是相关攻击活动依旧持续活跃。通过对该组织的持续监控,微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化,对加密货币的用户更有针对性,更加隐蔽,不易被发现。
为了保护系统免受此类威胁,用户应仅从官方和合法市场下载应用程序,不打开和安装未知来源的程序。对于此类伪装为加密货币交易平台来传播木马的攻击手法,加密货币公司及相关从业人员应该提高警惕。
公众号内回复“钱包”,可获取 PDF 版报告(附 IOC)。
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。
原文始发于微信公众号(字节脉搏实验室):钱包黑洞:Lazarus 组织近期在加密货币方面的隐蔽攻击活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/1987608.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论