概括
Lazarus APT組織是一個長期活躍的組織,因為2014年攻擊索尼影業而開始受到廣泛關注,該組織早期主要針對韓國,美國等國家的政府機構進行攻擊活動,以竊取情報等信息為目的。自2014年後,該組織開始針對全球金融機構,加密交易機構等為目標,進行斂財活動。
近期,奇安信威脅情報中心紅雨滴團隊在日常的APT樣本追蹤中,捕獲一例利用心理測驗為誘餌的Lazarus攻擊樣本,該樣本通過宏釋放powershell腳本執行,從而控制受害者計算機。奇安信威脅情報中心通過溯源關聯,捕獲另一例針對Macos的攻擊樣本,並在發現此次攻擊活動的第一時間通過社交媒體進行預警。
樣本分析
誘餌文檔
MD5
6850189bbf5191a76761ab20f7c630ef
作者
Windows User
修改時間
2019:10:22 02:53:14
本次攻擊活動攻擊者使用心理測驗相關內容為誘餌,誘導用戶啟用宏
啟用宏需點擊笑臉,從而執行惡意宏代碼
之後將powershell代碼寫入到%temp%目錄下並通過powershell.exe執行
Powershell
釋放的powershell腳本是一個後門,硬編碼了三個c2
執行後與內置的c2服務器進行通信,若通信失敗,則休眠一段時間嘗試連接其他c2
從c2獲取命令執行,根據不同的命令執行不同功能
支持的命令功能如下表所示
命令
功能
2
設置休眠時間
3
結束本進程
11
獲取本機基本信息上傳
12
檢查惡意程序當前狀態
14
顯示當前惡意程序配置
15
更新惡意程序c2等配置
18
通過cmd執行命令
20
上傳指定文件
21
下載文件保存到指定文件
24
執行命令
獲取本機計算機名,ip地址,系統版本號等信息上傳
通過cmd執行c2命令
更新c2服務器配置
上傳指定文件
下載文件保存到指定位置
Macos Backdoor
經關聯分析,奇安信威脅情報中心關聯使用相同c2針對MacOS 平臺的攻擊樣本,樣本基本信息如下
文件名
Album.app.zip
MD5
a8096ddf8758a79fdf68753190c6216a
該文件包含一個正常的.Flash Player文件,而惡意程序隱藏在Flash Player中
運行後首先從偏移1340,截取大小0x6c74的數據保存到.FlashUpdateCheck
之後寫入配置文件com.adobe.macromedia.flash.plist,並通過launchctl load加載配置文件,從而使配置文件生效實現.FlashUpdateCheck的自啟動
使用chmod命令提升.FlashUpdateCheck權限
文件名
.FlashUpdateCheck
MD5
bac54e7199bd85afa5493e36d3f193d2
該文件具有後門功能,功能與powershell後門基本一致。同樣硬編碼了三個c2
運行後與c2通信獲取c2指令
之後根據c2指令執行不同功能
功能列表如下:
命令
功能
2
設置休眠時間
3
結束本進程
11
獲取本機基本信息上傳
12
檢查惡意程序當前狀態
14
顯示當前惡意程序配置
15
更新惡意程序c2等配置
18
通過bash執行命令
19
執行其他命令
20
上傳指定文件
21
下載文件
24
通過system執行
25
通過system執行
溯源關聯
通過對本次攻擊活動的後門以及ttps分析,奇安信威脅情報中心判斷本次攻擊活動的幕後黑手是Lazarus。
相似的後門
Powershell基本一致
Macos 樣本主要流程基本一致
且c2在奇安信威脅情報大數據平臺(ti.qianxin.com)已打上Lazarus標籤
綜上,本次捕獲的攻擊樣本應該是出自臭名昭著的Lazarus APT團伙
總結
Lazarus團伙是一個長期活躍的APT組織,武器庫十分強大,擁有對多平臺進行攻擊的能力,近年來,該團伙多次被安全廠商披露,但從未停止進攻的腳本,反而越發活躍,攻擊目標也越發廣泛。同時,該團伙也多次針對國內進行攻擊活動,企業用戶在日常的工作中,切勿隨意打開來歷不明的郵件附件。
目前,基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對此類攻擊的精確檢測。
IOC
6850189bbf5191a76761ab20f7c630ef
a8096ddf8758a79fdf68753190c6216a
hxxps://crabbedly.club/board.php
hxxps://craypot.live/board.php
htxxps://indagator.club/board.php
參考鏈接
https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/
閱讀更多 奇安信威脅情報中心 的文章
關鍵字: 攻擊 概括 PowerShell
