Lazarus(APT-C-26)集团是朝鲜半岛非常活跃的APT组织之一,该组织长期对韩国、美国、印度等国家进行渗透攻击,长期以数字货币、金融行业、航空航天行业等为攻击目标。此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁,该组织最早的攻击活动可以追溯到2007年。
今年6月,我们在日常的威胁狩猎中,监测到一起朝鲜APT组织的诱饵文档样本,此次攻击以名称“Airbus工作机会机密”为诱饵,诱导受害者点击执行,当用户启用宏后,将释放后门程序执行。
诱饵以Airbus工作机会机密为主题,文档界面显示:“本文件受 Airbus SE 保护。要查看内容,请单击上方黄色栏中的‘启用编辑’和‘启用内容’”,以此诱导用户启用宏,使用工作机会、招聘信息等为诱饵也是Lazarus常用的手段。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
当用户打开文档启用宏后,第一阶段的VBA脚本将检测当前文档名称是否为 Airbus Job Description(Airbus 职位描述)。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
不是的话,将从远程地址hxxps:// shopweblive[.]com/airbus_job_vacancies.doc下载诱饵内容并打开。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
下载的文档内容主要为 Airbus 公司岗位的具体描述,Airbus是欧洲一家民航飞机制造公司,于1970年由德国、法国、西班牙与英国共同创立,总部设于法国图卢兹,也是欧洲最大的军火供应制造商空中客车集团(Airbus Group)旗下的企业。攻击者假冒 Airbus 公司的名义进行攻击,根据诱饵文档内容来看,我们猜测受害对象为欧洲航空航天从业人员。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
随后恶意VBA脚本将在 c:Drivers 目录下创建以下文件:
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
|
|
|
|
|
base64编码的数据 (解码后为持久化lnk文件)
|
|
|
base64编码的两个字节数据 TV(PE数据的第一个字节M)
|
|
|
|
|
|
从system32目录下拷贝的 certutil.exe (白)
|
|
|
DriverGFD.tmp 与 DriverGFZCoin.tmp 拼接后的数据,完成后将这两个tmp删除(解码后为PE文件)
|
|
|
使用DriverCheckTY.exe(certutil.exe)解码DriverGK.tmp 后的文件,用于解码 DriverCacheSH.exe
|
|
|
从C:Windows目录下拷贝的 explorer.exe (白),通过cmd命令启动
|
|
|
使用DriverCheckTY.exe(certutil.exe)解码DriverCFHD.tmp后的文件
|
|
|
|
恶意宏将内置的base64编码的数据写入以上文件,经过一系列的拼接、解码,最终通过启动lnk文件 DriverGK.lnk 来解码最终的载荷 DriverCacheSH.exe ,宏代码会判断系统位数来释放不同版本载荷。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
以上的活动执行完后,通过 cmd命令 “cmd.exe /c explorer.exe /root,"c:DriversDriverCacheSH.exe” ,以资源管理器视图打开最后的载荷 DriverCacheSH.exe,攻击者通过层层解码、间接运行的方式执行最终载荷,在一定程度上也规避了一些安全产品的检测。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
如未带参数,则创建计划任务 “Office ClickToRuns Cache Update” ;带参数,则" /update"每20分钟运行一次 DriverCacheSH.exe。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
如带参数 /update执行,则向 "hxxs:// shopweblive[.]com/image_slider[.]png" 请求数据执行,截至到分析链接已经失效,我们暂未捕获到后续样本。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
此次攻击流程并无太大变化,均使用社会工程学的方式攻击军工、航空航天等行业的人员。
1.宏中使用大量的base64编码数据,使用时经过多重解码;
根据我们以往监测到的其它Lazarus 同类诱饵样本来看,攻击者似乎在有意的抹除文档创建/修改者信息,这也为后续的溯源关联增加了一些难度。
|
f86fb4a63cdff302af2ccf2b2663d757
|
rheinmetall_job_requirements.doc
|
|
cb1ae1de9487edd65c2201f1f4a36e3c
|
rheinmetall_job_requirements.doc
|
|
648dea285e282467c78ac184ad98fd77
|
|
|
d4a8923414daf0fe1ac7eed22645dff3
|
|
|
14ac5a43c99770409f15bc4a4e0e724d
|
|
|
a9e277f7fa7b5b4cc9236175754ffd11
|
|
|
0198aef369ed3da11469972d51eec9a8
|
|
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
启动最终载荷,历史活动使用命令 “cmd /c mavinject.exe "explorer.exe_pid /injectrunning c:DriversDriverGFX.tmp” 注入执行,这次使用 “cmd.exe /c explorer.exe /root,"c:DriversDriverCacheSH.exe” 直接执行。
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
![Lazarus针对航空航天行业的攻击]( "Lazarus针对航空航天行业的攻击")
4fb3bd661331b10fbd01e5f3e72f476c
9a8fa039929c0be8309fb78bdff5b31c(白文档)
B7DBB3BEF80D04E4B8981AB4011F4BFE
9e54e1a831824f2cca3bbc2d8c5db108(32位载荷)
f86fb4a63cdff302af2ccf2b2663d757
cb1ae1de9487edd65c2201f1f4a36e3c
648dea285e282467c78ac184ad98fd77
d4a8923414daf0fe1ac7eed22645dff3
14ac5a43c99770409f15bc4a4e0e724d
a9e277f7fa7b5b4cc9236175754ffd11
0198aef369ed3da11469972d51eec9a8
hxxps:// shopweblive[.]com/airbus_job_vacancies.doc
hxxs:// shopweblive[.]com/image_slider[.]png
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
本文始发于微信公众号(360威胁情报中心):Lazarus针对航空航天行业的攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/419110.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论