披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

  • A+
所属分类:安全文章
TAG:Lazarus、朝鲜半岛、0day、安全研究人员、社会工程学攻击

TLP:白(报告转发及使用不受限制)

日期:2021-01-27


1

概述


近日,Google 威胁分析组(TAG)披露了一起针对二进制漏洞安全研究人员的攻击活动,我们在此基础上对攻击活动中所涉及的样本进行了复盘分析,具体发现如下:

  • 攻击者以安全研究人员的身份,至少从2020年4月份开始潜伏在 Twitter、LinkedIn、Telegram、Discord、Keybase 等社交媒体,同时也会建立技术博客,发表一些漏洞分析的文章。攻击者所发表的文章有一定的质量,这在某种程度上增加了对目标安全研究人员的迷惑性。

  • 攻击者与目标安全研究人员通过社交媒体建立联系后,开始进行社会工程学攻击,其会邀请目标进行漏洞研究方面的合作,向目标发送相关 Visual Studio 项目,而该项目一旦编译则会触发执行恶意模块,最终被攻击者控制,具有很强的隐蔽性。

  • 此外,据 Google 方面透漏,攻击者疑似在其博客中部署了 Chrome 浏览器 0day 漏洞,一旦目标使用 Chrome 浏览器访问其博客,将会触发漏洞而被黑客控制,目前这一说法还有待证实。

  • 此次攻击活动中,我们发现多例样本与去年朝鲜 APT 组织 Lazarus 进行的名为 “DreamJob” 的攻击活动中的样本有多处重叠之处,故将此攻击事件归因为 Lazarus APT 组织。

  • 过开源情报获悉,Lazarus 此次攻击目标涉及俄罗斯、美国、中国、泰国等10余个国家,通过 IP 定位发现国内某安全公司在2020年12月期间有多次回连 C2 的记录。

  • 根据此次攻击活动目标,很容易让人联想到 Lazarus 实际目的可能为窃取安全研究人员手中的高价值 0Day 漏洞,用以扩充该组织军火库。

  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC,可用于威胁情报检测。微步在线威胁感知平台 TDP、威胁情报管理平台 TIP、威胁情报云 API、互联网安全接入 OneDNS 等均已支持对此次攻击事件和团伙的检测。



2

事件详情


攻击者在 Twitter 建立了多个安全研究相关账号,并在近一年保持活跃,通过此渠道发布博客链接,用以和目标安全研究人员建立初步联系。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

图片来源:https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/


攻击者博客文章也确实为漏洞研究相关文章,这可以更好地与目标建立信任。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

图片来源:https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/


与目标用户建立社交联系之后,攻击者将会邀请目标进行漏洞研究,并向其发送漏洞相关 Visual Studio 项目文件。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

图片来源:Twitter 用户 Richard Johnson


从一些受害者的社交软件聊天记录截图可以发现,攻击者目标非常明确。如果目标不是漏洞研究相关人员,并不能引起攻击者的兴趣。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

图片来源:Twitter 用户 heige



3

样本分析


攻击者在 VS 项目中添加了预生成事件,一旦用户编译项目,将会调用 powershell 检查主机系统是否为 Win10 x64,满足条件后利用系统组件 rundll32 来执行恶意模块 Browse.VC.db 的导出函数 ENGINE_get_RAND,传入参数 6bt7cJNGEb3Bx9yK 2907。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


而 Browse.VB.db,实际为 x64 DLL 文件,其伪装成 VS 项目数据库文件。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


在模块导出函数 ENGINE_get_RAND 中,首先会判断传入参数的个数,如果不等于 2,将会退出木马流程。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


样本中的字符串使用 RC4 算法解密,使用的密钥为 {6B 49 A3 8D D8 DD 21 2B 38 59 BB BF 06 C0 33 C2}。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


使用 RC4 解密出的部分配置信息字符串。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


样本将会以设置注册表启动项的方式来建立持久化机制。

启动项名称:SSL Update
启动路

C:WindowsSystem32rundll32.exe C:\ProgramData\VirtualBox\update.bin,ASN2_TYPE_new 5I9YjCZ0xlV45Ui8 4222

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


之后解密出 PE 模块,将其释放到主机目录 C:\ProgramData\VirtualBox\update.bin,并通过系统组件 rundll32.exe 调用执行,而 Update.bin 同样为 x64 DLL 模块,其名称伪装为 win32k.dll。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


该模块执行后会检查传入参数是否为 5I9YjCZ0xlV45Ui8,并以此名创建互斥体,防止木马重复运行。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


之后使用 RC4 解密出 PE 模块数据,并在内存中加载运行。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


经过前面套娃式的流程,最终在内存中加载核心 PE 模块,在此模块中使用了不同的加密方案,使用 OpenSSL 中的 evp 库进行加解密,使用的密钥为:
5618198335124815612315615648487。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


模块中内置了3组用于木马通信的 URL,其中前两个为重复的,也就是实际为2组:

https://codevexillium.org/image/download/download.asp

https://angeldonationblog.com/image/upload/upload.php

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


之后会随机生成字符串,和主机系统时间一并经过 Base64 编码以 POST 方法发送至上面的 C2 服务器。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


最后接收服务器返回数据,解密后在内存中加载执行恶意模块。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


此外,据 Google 方面透漏,攻击者疑似在其博客中部署了 Chrome 浏览器 0day 漏洞,一旦目标使用 Chrome 浏览器访问其博客,将会在用户主机注册表留下被加密的 payload,同时释放一个伪造为驱动文件的 DLL 文件并创建服务以建立持久化机制。


该 DLL 模块启动之后,同样使用 RC4 解密字符串,从注册表中读取 payload 数据。


payload 长度:HKLMSOFTWAREMicrosoftWindowsCurrentVersionKernelConfigSubVersion

加密的数据:HKLMSOFTWAREMicrosoftWindowsCurrentVersionKernelConfigDescription

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


之后将 payload 数据经过解密后在内存中加载执行,目前未能获取到 payload 数据。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析



4

关联分析


在 Lazarus 以往的攻击活动中,经常将恶意 DLL 模块伪装成 DB 文件来使用,比如在去年的 “DreamJob” 攻击活动中将恶意模块伪装成 thumbnail.db。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


该组织还经常使用系统组件 rundll32 来调用恶意模块的导出函数,并传入参数执行。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


在攻击样本中,我们可以看到保持了与之前攻击活动相同风格的 RC4 解密部分。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


同时,可发现攻击者使用了与之前完全相同的 RC4 密钥 { B6 B7 2D 8C 6B 5F 14 DF B1 38 A1 73 89 C1 D2 C4}。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


类似的随机生成字符串部分,主要区别为之前将此部分作为单独函数,而此次攻击活动中将此部分直接内联编译。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


基本一致的内存加载 PE 模块部分。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


在分析中,我们未能获取到 Google 提到的漏洞利用中的 payload 数据,但经过与 Lazarus 之前所使用的 RAT 模块对比,发现启动参数完全一致,均为 “MICROSOFT”,故判断 Lazarus 在本次攻击活动中复用了之前所使用的 RAT 工具。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


在之后持续追踪分析的感染数据中,我们发现已经有俄罗斯、美国、中国、泰国等10余个国家/地区的用户被成功入侵。国内有多家机构或个人主机被入侵,根据 IP 定位信息显示,受害者包括国内多家安全公司。

披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


攻击者在此次攻击活动中锁定二进制漏洞研究人员,很显然是为了窃取目标手中高价值 0day 漏洞资料,其在本次攻击活动中入侵了相当数量的用户,且已经使用了 0day 漏洞,推测攻击者已经成功窃取并掌握部分受害用户手中的高价值 0day 漏洞资料,可能会用于未来的攻击活动中,这尤其要引起企业及个人的重视。



5

结论


Lazarus APT 组织是当前最活跃的 APT 组织之一,该组织在以往经常攻击金融、科研等机构。而在此次攻击活动中,Lazarus 首次针对安全研究人员进行定向攻击以窃取高价值 0day 漏洞资料,该组织长期觊觎此类高价值情报资料,这也表明该组织在不断扩充其军火库,以提升武器储备能力。


Lazarus 擅长使用社会工程学方案进行攻击,在去年就曾针对航空企业进行过以 “DreamJob” 为名义的攻击活动。在本次攻击活动中,Lazarus 组织在近一年的时间里展现了其极强的耐心以及行动保障能力,其将攻击目标瞄准安全研究人员也让威胁攻击与防御更加白热化,同时也会导致目标所属公司重要研究成果被窃取等严重危害,相关安全研究人员和机构尤其要提高警惕,微步在线情报局会对该组织攻击活动持续进行跟踪,及时发现安全威胁并快速响应处置。



━ ━ ━ ━ ━

点击底端“阅读原文”,可查看事件 IOC 及更多参考信息。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析


戳“阅读原文”,查看 IOC

↙↙↙

本文始发于微信公众号(安全威胁情报):披着羊皮的狼:Lazarus 针对安全研究人员的攻击事件分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: