Cisco Talos当地时间12月11日发布报告称,他们最近发现了由Lazarus Group发起的一项新活动,Talos将其称为“铁匠行动”,该活动至少使用了三个DLang编写的恶意软件家族,其中两个是远程访问木马 (RAT),第三个使用Telegram机器人和通道作为命令和控制 (C2) 通信的媒介。Talos将这种基于Telegram的RAT跟踪为“NineRAT”,将非基于Telegram的RAT跟踪为“DLRAT”,将基于DLang的下载器跟踪为“BottomLoader”。最新发现表明朝鲜APT组织Lazarus Group的策略发生了明确的转变。在过去一年半的时间里,Talos披露了三种不同的远程访问木马 (RAT),这些木马在开发过程中使用了不常见的技术,例如QtFramework、PowerBasic和DLang。Talos观察到在Lazarus开展的这次活动中的发现存在重叠,包括与朝鲜国家支持的组织Onyx Sleet (PLUTIONIUM,也称为Andariel APT组织)一致的战术、技术和程序 (TTP) )。Andariel被广泛认为是Lazarus旗下的 APT子组织。此活动包括持续伺机瞄准全球公开托管脆弱基础设施并将其易受攻击的基础设施暴露给n-Day漏洞,典型的是CVE-2021-44228(Log4j)漏洞和利用。三款RAT使用Dlang编写,恶意软件转向使用内存安全语言编写,也值得关注。
![老洞+新马:Lazarus铁匠行动暴露最新TTP和RAT]( "“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT")
对Lazarus Group使用Log4Shell的攻击进行的研究揭示了用非典型编程语言编写的新型恶意软件菌株。DLang是较新的内存安全语言之一,在过去几年中得到了西方安全机构的认可,同样类型的网络犯罪分子正在转向使用的语言。
![老洞+新马:Lazarus铁匠行动暴露最新TTP和RAT]( "“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT")
新颖的恶意软件NineRAT、DLRAT和BottomLoader
NineRAT使用Telegram作为其C2通道,用于接受命令、传达其输出,甚至用于入站和出站文件传输。Lazarus使用Telegram很可能通过使用合法服务作为C2通信渠道来逃避网络和基于主机的检测措施。
NineRAT由三个组件组成,一个是释放器二进制文件,其中嵌入了另外两个组件。释放器会将这两个组件写入磁盘并删除自身。第一个组件是一个仪器,称为nsIookup.exe(大写“i”而不是小写 L),它将执行第二个组件并将在持久性机制中使用。诸如此类的模块化感染链经常被威胁行为者用来实现多种目标,从防御规避到可以升级或修改的组件的功能分离,同时避免在受感染系统上进行嘈杂的操作。
NineRAT使用基于DLang的库与Telegram的API进行交互。NineRat使用Telegram的目的是为了逃避网络和基于主机的措施的检测。通过合法服务运行恶意流量是网络犯罪分子常用的策略,他们出于相同目的使用Discord等其他社交平台。
DLRAT是基于DLang的RAT和下载器。该恶意软件包含用于执行系统侦察的硬编码命令。它首先在端点上执行命令来收集有关系统的初步信息:“ver”、“whoami”和“getmac”。这样,运营商将获得有关操作系统版本、运行恶意软件的用户以及允许他们识别网络上系统的MAC地址的信息。执行第一次初始化和信标后,会在同一目录中创建一个名为“SynUnst.ini”的初始化文件。向C2发出信标后,RAT将以多部分格式发布收集的信息和硬编码的会话信息。
BottomLoader是研究人员发现的第二种病毒,与HazyLoad工具一样,充当第二阶段攻击的下载器。它通过PowerShell命令从硬编码URL 载有效负载,还可以通过PowerShell命令上传文件。它还可以通过在Startup目录中创建.URL文件来为后续有效负载建立持久性,再次依赖PowerShell 载任何后续包。
Talos观察到的这一特定攻击涉及在面向公众的VMWare Horizon上成功利用CVE-2021-44228(也称为Log4Shell)服务器,作为初始访问易受攻击的面向公众的服务器的手段。初次访问后进行初步侦察,从而在受感染的系统上部署定制的植入程序。
![老洞+新马:Lazarus铁匠行动暴露最新TTP和RAT]( "“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT")
![老洞+新马:Lazarus铁匠行动暴露最新TTP和RAT]( "“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT")
![老洞+新马:Lazarus铁匠行动暴露最新TTP和RAT]( "“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT")
值得警惕的是,2年历史的史诗级漏洞Apache Log4j仍然被Lazarus Group利用。Veracode上周报告称,超过三分之一 (38%) 的仍在使用的应用程序仍在使用Log4j 的易受攻击版本。组织有可能拥有他们甚至没有意识到受到 Log4j 影响的软件 -它的使用如此广泛,以至于今天仍然能够真正感受到连锁反应。
研究人员指出,DLang是编写恶意软件的不常见选择,但在过去几年中,在恶意软件编码方面以及在更大的编程世界中,向更新的语言和框架的转变正在加速。
然而,Rust经常被证明是众多被认为是内存安全的语言中的首选。
AlphV/BlackCat是第一个于去年做出此类转变的勒索软件组织,用Rust重写其有效负载以向其附属机构提供服务更可靠的工具。一个月后,现已关闭的Hive小组做了同样的事情,随后还有许多其他人效仿。
其他冷落Rust的组织包括Sandman,最近观察到使用基于Lua的恶意软件,该恶意软件被认为是更广泛的恶意软件的一部分。
Rust是“最受欢迎的”。根据Stack Overflow的年度开发者调查,在所有开发语言中,这一情况在过去七年中一直如此。
经常将其与Go、Ruby、Swift等内存安全性相提并论 ,但开发人员经常表示,与其他语言相比,他们更享受用Rust编写的体验。
它的性能也比一些同类产品更好,比如Go,Go有时因其垃圾收集器减慢应用程序速度而受到批评。Rust多年前就对其垃圾收集器进行了分类,因此运行速度比其他类似语言要快。
DLang还具有垃圾收集器,这意味着在某些情况下它的运行速度可能比Rust慢,但DLang和Go等语言的好处是它们的编译时间更快,因此开发人员可以根据自己的喜好进行权衡。
1、https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/
2、https://www.darkreading.com/threat-intelligence/lazarus-group-still-juicing-log4shell-rats-written-d
3、https://www.theregister.com/2023/12/11/lazarus_group_edang/
原文始发于微信公众号(CNCERT国家工程研究中心):“老洞”+“新马”:Lazarus“铁匠行动”暴露最新TTP和RAT
评论