2021年下半年,360高级威胁研究院发现了来自同一个组织APT-C-26(Lazarus)的多起攻击活动,自从去年七月份以来我们捕获到多个标题为 Venture Labo Investment Pitch Deck(Protected).docx (创业实验室投资推介书(受保护).docx)的诱饵,文件的主要内容为日本东京一家风险投资公司Venture Labo Investment Co.,Ltd 的介绍。该文件是一个具有远程模板注入(CVE-2017-0199)的文档,当用户打开文档后,样本将从远程链接加载远程模板,并诱使用户启用宏,然后从远程地址获取数据注入到合法进程实现后门操作。
该活动攻击意图为窃取加密货币,与Lazarus分支组织BlueNoroff攻击载荷、流程及IOC重合,应同属BlueNoroff组织活动。
1.攻击流程
该组织利用投资推介书相关诱饵文档来迷惑用户点击,用户点击文档后,文档请求远程模板数据,远程模板实际为宏文档,恶意宏加载文档目录customXml下文件item1.xml,读取数据并解密,解密后根据系统位数注入相关合法进程,随后合法进程请求服务器下载后续载荷并与C&C通讯。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
根据该组织活跃时间构建柱状图,可以看到在8月活动频次最高。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
2. 样本分析
|
MD5
|
98F765BB4201EC61A304F49A97E4F305
|
|
FileName
|
Venture Labo Investment Pitch Deck(Protected).docx
|
诱饵文档图示,该文件是一个具有远程模板注入(CVE-2017-0199)的文档, 图片为加载完模板后的界面,提示用户“信息保护控制帮助您在公司外部共享的电子邮件、敏感数据和文档,要编辑此文档,请点击 ‘启用内容’”。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
当用户打开文档后,将从远程地址 https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D 获取后续数据。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
当用户点击启用宏后,将会执行攻击者精心构造的代码,宏代码首先声明 一些 API的调用。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
随后通过 attachtemplate.FullName 函数获取文档内的模板路径"C:Users用户名AppDataRoamingMicrosoftTemplatesNormal.dotm"
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
攻击者在 customXml 下item1.xml添加了自定义的xml数据。2007 Microsoft Office System 中引入了自定义 XML 部件以及 Open XML 格式。大多数 XML 部件都是内置部件,有助于定义文档的结构和状态。但是,文档也可以包含自定义 XML 部分,可以使用这些部分在文档中存储任意 XML 数据。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
运行时通过遍历customXml 比对 xmlns 值的方法找到自己添加的数据。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
然后将从模板中获取的地址,追加到 node.txt后。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
并使用以下算法对 node.txt 内容进行解码。
如果是 64位系统,则遍历进程获取axplonan.axa 进程的pid , 将遍历出的进程名称进行字符替换(e → a)、(r → n),寻找的 axplonan.axa 实际上为 explorer.exe ,这种方法在一定程度上可以避免安全软件的查杀。
在32 位系统中,则获取 notepad.exe 的 pid。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
注入 Explorer 执行的Shellcode 在运行时首先执行自解密,并动态获取一些 网络、进程相关的函数。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
接着获取当前运行的进程列表,构造post请求发送到服务器 https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
并从服务器读取数据到内存。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
利用读取的数据长度与计数器取模的结果,和读取的数据异或,解密出下一阶段的dll文件:
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
然后在注册表 SoftwareMicrosoftWindowsCurrentVersionExplorer 添加 键 AuthKey,值为: 68747470733a2f2f636c6f75642e6265656e6f732e62697a2f4e5a4c43755935377870502f7a714362576b735a4b6d2f2b3961435a38765a2f624c4f7231625953792b6e683672723463752f616a654b3957773d2f3d , AuthKey是一串 hex 编码的数据,解码后为一个远程地址 : https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
接着 在 C:UserstestAppDataLocalMicrosoftWindows 路径下创建文件 Groove.tmp ,将解密的数据写入。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
|
|
44AD56E3EE5CEBB77830C0133E671F4E
|
|
|
|
很遗憾在分析Groove.tmp文件时,该文件使用 tmd加壳。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
在实际运行中也出现问题,可能在加壳过程中破坏了文件。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
随后再次从服务器读取数据,解密完的dll文件带参数https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/= 在内存中反射式加载。
|
|
6DCA2CF173773FE8FB9D7BA5D912B95C
|
首先获取当前时间、计算机名称与用户名称,使用两轮以下加密获得一个16 位 的AES密钥,用作后续数据的加密。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
|
|
|
|
|
通过 GetComputerNameW 和 GetUserNameW 方式获取
|
|
|
通过32-bit、64-bit、unknown-bit 进行标识
|
|
|
通过 GetTimeZoneInformation 获取
|
|
|
通过SoftwareMicrosoftWindows NTCurrentVersionProductName 获取
|
|
|
通过SoftwareMicrosoftWindows NTCurrentVersionInstallDate 获取
|
|
|
|
|
|
通过 SYSTEMCurrentControlSetControlSystemInformation中SystemManufacturer 、SystemProductName 获取
|
|
|
通过 SoftwareMicrosoftWindowsCurrentVersionInternet Settings中AutoConfigUrl、ProxyServer 获取
|
|
|
通过 CreateToolhelp32Snapshot 获取
|
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
将获取的信息拼接后进行AES加密,构造post请求发送到服务器,该请求伪装成 gif/jpeg文件
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
发送到服务器后,根据代码来看还有从服务器读取数据反射执行的行为,遗憾的是截止到分析,服务器上似乎并没有可用的资源提供下载,但也不排除攻击者在未来攻击中启用这些资源。
![隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告]( "隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告")
3. 关联分析
本次披露样本与lazarus分支组织BlueNoroff在攻击链方面相吻合,都是以利用远程模板文档下载后续宏,恶意宏加载文档目录customXml下文件item1.xml,读取数据并解密注入合法进程,合法进程post请求后续载荷至C&C服务器与之通讯。IOC也存在重叠的情况,域名venturelabo[.]co、azureword[.]com与此前一致,因此归属同一组织攻击活动。
BlueNoroff组织疑似是2016年对孟加拉国中央银行攻击的幕后黑手,该组织系Lazarus分支,随着虚拟数字货币的兴起,其攻击意图从银行慢慢转移为数字货币,该组织攻击链条完整,具备多种攻击形态,需要引起足够重视。
0B409E7435F4C453FFE1F5160004DBC9
648C9479B357CFDBDFCCE497B4E6BFF5
67dc0b3d3df594094c7d5ddd2382c6c6
89099235aad37a29b7acedc96fda0037
98F765BB4201EC61A304F49A97E4F305
f26eaa212c503aaba6e5015cb8ef44b5
URL
https:// cloud[.]beenos[.]biz/_D5l8MJUYh2/xtxjq441tQ/KxQAWNWRdM/lr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D
https:// cloud[.]beenos[.]biz/gM7Sy9dz%2B/tqs%2BAikg/fK_i2afRzg/Ac0r_r1bYS/y%2Bnh6rr4/cuajeK9Ww%3D%3D
https:// cloud.beenos[.]biz/khhBou1O7LL/KSdmZ9duqH/X7RkHk5zxs/dr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D
https:// cloud[.]beenos[.]biz/MJuuKOdL0nn/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D
https:// cloud.beenos[.]biz/NbmU3%2BAd%2BnKc4nYo1/VN1mMyIelT/5y_yqr1bYS/y%2Bnh6rr4/cuajeK9Ww%3D%3D
https:// cloud[.]beenos[.]biz/BJD4k8WFV_K/xtxjq441tQ/KxQAWNWRdM/lr1bYSy%2B/nh6rr4cuaj/eK9Ww%3D%3D
https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/%2B9aCZ8vZ/bLOr1bYSy%2Bnh6rr4cu/ajeK9Ww%3D/%3D
https:// doc[.]venturelabo[.]co/bC%2BZPs40y/VgIBvJEDoX/3VADqXGLEF/sP9B4PYHt6/KN5Y%3D
https:// office[.]azureword[.]com/m4Qc3maulbY/1Iv1zX77YR/leCulaIPLo/zB4PYHt6KN/5Y%3D
https:// cloud[.]venturelabo[.]co/S9iHFiiF3B%2B%2BQ7IPP/dcYk4eENPZ/65ayMB4PYH/t6KN5Y%3D
hxxps://it[.]zvc.capital/C5MplvLKOqh/msUsLMGlyq/vAzw%2BxIt/kCYVUO1eI4/Lb9k%3D
https:// cloud[.]beenos[.]biz/NZLCuY57xpP/zqCbWksZKm/+9aCZ8vZ/bLOr1bYSy+nh6rr4cu/ajeK9Ww=/=
DLL
44AD56E3EE5CEBB77830C0133E671F4E
6DCA2CF173773FE8FB9D7BA5D912B95C
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
360高级威胁研究院
360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
原文始发于微信公众号(360威胁情报中心):隐藏在投资推介书中的淘金者——APT-C-26(Lazarus)攻击活动分析报告
评论