卡巴斯基研究员观察了与朝鲜相关的拉泽鲁斯集团在一个月内瞄准至少两个与同一家核相关机构相关的员工。专家们相信这些攻击是Operation Dream Job(也称为NukeSped)的部分,该攻击活动至少从2020年开始。
攻击者使用了多种类型的恶意软件,包括下载器、加载器和后门。该国际攻击者将包含恶意文件的归档文件传递给了两个员工。拉泽鲁斯使用了恶意ISO文件来绕过检测,部署了Trojanized VNC软件,以传递类似Ranid Downloader、MISTPEN、RollMid和LPEClient的恶意软件。研究员们还在受感染主机上发现了CookieTime恶意软件,该恶意软件在LPEClient安装后作为SQLExplorer服务激活,最初执行C2命令,但现在主要下载payload。攻击者使用CookieTime下载多种恶意软件,包括LPEClient、Charamel Loader、ServiceChanger和更新的CookiePlus。Charamel Loader使用ChaCha20算法来解密和加载CookieTime、CookiePlus和ForestTiger等恶意软件。
攻击者使用ServiceChanger恶意软件来停止合法服务,存储恶意文件到磁盘,然后重新启动服务以加载恶意DLL_via侧加载。拉泽鲁斯攻击ssh-agent服务使用libcrypto.dll,使用与Kimsuky APT集团不同的方法,该集团exploiting现有服务,而不是注册新的服务。CookieTime也可以通过DLL侧加载在某些情况下,支持多种加载方法和多个入口点。
报告中写道:“由于CookiePlus充当下载器,其功能有限,仅从受感染主机向C2服务器传输极少的信息。在其与C2的初始通信期间,CookiePlus会生成一个32字节的数据数组,其中包括其配置文件中的ID、特定偏移量和计算出的步长标志数据。”研究人员认为CookiePlus可能是MISTPEN的继任者。虽然缺乏代码重叠,但两者都伪装成Notepad++插件,并使用类似的策略,例如利用TBaseInfo.dll和hiber.dll等插件。2024年6月编译和使用的CookiePlus似乎更先进,与2024年初最后已知的MISTPEN样本相比,它支持额外的执行选项。Lazarus APT组织在大部分活动中使用受入侵的WordPress网络服务器作为C2。MISTPEN、LPEClient、CookiePlus和RollMid恶意软件都使用了这些服务器作为C2。然而,CookieTime只使用了一个基于WordPress的C2。所有已识别的C2都托管了位于不同国家的基于PHP的网络服务。纵观其历史,Lazarus只使用少量模块化恶意软件框架,例如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们引入新的模块化恶意软件(如CookiePlus)这一事实表明,该组织一直在努力改进其武器库和感染链,以逃避安全产品的检测。”
报告总结道。“对于防御者来说,问题在于CookiePlus的行为就像一个下载器。这使得很难调查CookiePlus是否只下载了一个小型插件或下一个有意义的payload。根据我们的分析,它似乎仍在积极开发中,这意味着拉泽鲁斯将来可能会添加更多插件。”
原文始发于微信公众号(黑猫安全):Lazarus APT瞄准了一家未经公开命名的核相关机构的员工
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3545784.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论