疑似Lazarus组织利用大宇造船厂为相关诱饵的系列攻击活动分析

近日，奇安信红雨滴团队使用内部高价值样本狩猎流程捕获多个Lazarus组织新攻击样本，此类样本以东亚某知名造船厂(大宇造船：Daewoo Shipbuilding)、居民登记表等信息为诱饵，采用bmp文件隐藏RAT的方式进行载荷隐藏。

受害者启用宏后，将展示诱饵文档信息迷惑受害者，诱饵包括东亚某造船厂收购、居民登记表等相关信息。诱饵内容如下图所示：

启用宏，将展示诱饵信息内容，诱饵信息是关于韩国出售大宇造船厂给现代重工的相关言论。

BMP文件中包含HTA文件。解压缩后的JS代码如下图所示，包含OpenTextFile、CreateTextFile、fromCharCode、Close、Write、C:/Users/Public/Downloads/Winvoke.exe等值。

当脚本执行时，会解析第一个数组获取索引值。同时使用CreateTextFile创建Winvoke.exe，将“MZ”写入。然后通过fromCharCode将data数组转换为字符串，写入Wincoke.exe中。最后Wscript.Run执行落地的载荷。

释放执行的Winvoke.exe是一个加载器，主要功能为内存解密并加载后续远控文件。

标记处为密钥，程序运行后会使用该密钥通过异或解密.KDATA的后续字段。

解密加载的可执行文件信息如下：

解密url。

奇安信威胁情报中心红雨滴团队结合威胁情报中心ALPHA威胁分析平台（https://ti.qianxin.com/），对此次攻击活动的手法、恶意代码等方面关联分析发现：此次攻击活动与Lazarus组织样本存在高度相似性。该样本与ed9aa858ba2c4671ca373496a4dd05d4 和d5e974a3386fc99d2932756ca165a451中使用的宏和第二阶段内存载入的木马存在一致性。同时该样本的RAT为更全功能的版本，增加了移动自身到开机自启动文件夹的功能，实现了持久化。

此次捕获的样本主要针对东亚地区开展攻击活动，暂未发现影响国内用户，但防范之心不可无，奇安信威胁情报中心再次提醒各企业用户，加强员工的安全意识培训是企业信息安全建设中最重要的一环，如有需要，企业用户可以建设态势感知，完善资产管理及持续监控能力，并积极引入威胁情报，以尽可能防御此类攻击。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括威胁情报平台（TIP）、天眼高级威胁检测系统、NGSOC、奇安信态势感知等，都已经支持对此APT攻击团伙攻击活动的精准检测。

d5e974a3386fc99d2932756ca165a451

f4d46629ca15313b94992f3798718df7

0ecfa51cd4bf1a9841a07bdb5bfcd0ab

ed9aa858ba2c4671ca373496a4dd05d4

71759cca8c700646b4976b19b9abd6fe

118cfa75e386ed45bec297f8865de671

53648bf8f0121130edb42c626d7c2fc4

4d30612a928faf7643b14bd85d8433cc

0812ce08a75e5fc774a114436e88cd06

1bb267c96ec2925f6ae3716d831671cf

http://mail.namusoft.kr/jsp/user/eam/board.jsp

http://www.jinjinpig.co.kr/Anyboard/skin/board.php

http://snum.or.kr/skin_img/skin.php

http://www.ddjm.co.kr/bbs/icon/skin/skin.php