APT黑客部署Lazarus恶意软件通过供应链攻击来攻击Windows计算机

最近,ESET的安全专家检测到Lazarus恶意软件通过供应链攻击来攻击Windows计算机,因为它通过盗窃的安全文档参与了针对韩国供应链的新活动。专家还透露,滥用被盗证书属于两个单独的授权韩国公司。

拉撒路(Lazarus)也被称为“隐藏眼镜蛇”(Hidden Cobra),它是精英威胁组织的总称。该组包括疑似隶属朝鲜的分支实体。 此外,专家们还认为,这应该对索尼臭名昭著的2014年黑客行为负责;不仅如此,Lazarus还与使用零日漏洞,LinkedIn网络钓鱼消息的黑客以及在包括Dacls和Trickbot的活动中部署特洛伊木马程序相关。 

APT黑客通过供应链攻击部署Lazarus恶意软件攻击Windows计算机APT黑客通过供应链攻击部署Lazarus恶意软件攻击Windows计算机

Lazarus工具集和供应链攻击

Lazarus集团最初于2016年2月在诺维塔(Novetta)的报告“重磅行动”中获得认可;因此,US-CERT和FBI将该小组命名为HIDDEN COBRA。根据安全专家的说法,这些网络犯罪分子随着针对索尼影视娱乐公司的网络破坏事件而声名狼藉。除此之外,Lazarus工具集非常广泛,安全专家认为此工具集有多个子组。这些工具集已被其他一些网络犯罪组织使用,但是任何Lazarus工具的源代码都从未公开泄漏。

拉撒路恶意软件 

在拉撒路供应链攻击中,韩国互联网用户经常被要求在参加政府或互联网交易网站时安装其他安全软件,该链由WIZVERA VeraPort组成,被称为集成安装计划。它是一个韩国应用程序,可帮助管理此类额外的安全软件。 当WIZVERA VeraPort安装在其设备上时,用户将使用VeraPort接收并安装特定网站所需的所有必要软件。

供应链攻击提供的样本如下:

德尔菲诺

MagicLineNPIZ.exe

拉撒路恶意软件供应链中涉及的归因如下:

  • 社区协议:现代攻击是KrCERT称为“操作手册”代码的序列。
  • 工具集的特性和检测:第一个放置器是需要参数的控制台应用程序,最后的有效负载是RAT模块。
  • 受害者学:拉撒路组织有很多袭击特洛伊行动等韩国受害者的历史。
  • 网络基础结构:Web Shell的所有服务器端技术以及C&C的业务都非常准确地纳入了KrCERT的白皮书中。 
  • 偏心方法:在入侵方法中–不寻常的渗透方法表明它可以与复杂的方法连接,在加密方法中–在针对波兰和墨西哥银行的水坑攻击中,RC4具有Spritz例外。

恶意软件分析

根据ESET报告,许多APT小组(尤其是Lazarus)的共同特点是,他们在从滴管到通用产品再到确定的有效载荷的各个阶段,以级联方式释放库存。

  • 滴管,加载器,下载器和模块
  • Dropper:这是级联的初始阶段,在此阶段,看不到代码中的任何多态性或混淆,Dropper在其资源中封装了三个加密文件。 
  • 加载程序:这是受Themida保护的文件;专家估计,Themida的版本为2.0-2.5,与KrCERT的报告一致。
  • 下载器:bcyp655.tlb名称下的Dropper元素会减少主下载器,而Loader会将其下载到辅助工具之一中。 
  • 模块:这是一个RAT,由Lazarus小组采用的一组典型特征组成。所有命令都包括对受害者文件系统的操作以及从攻击者军火库中下载其他工具的信息。 

需要以特定方式配置目标Web服务器,并且仅在Lazarus操作不足的情况下使用了这种恶意软件分发方法。但是,安全专家仍在调查整个问题,并试图绕过所有威胁。

危害指标(IoC)

检测名称

Win32 / NukeSped.HW
Win32 / NukeSped.FO
Win32 / NukeSped.HG
Win32 / NukeSped.HI
Win64 / NukeSped.CV
Win64 / NukeSped.DH
Win64 / NukeSped.DI
Win64 / NukeSped.DK
Win64 / NukeSped.EP

SHA-1签名样本

3D311117D09F4A6AD300E471C2FB2B3C63344B1D

3ABFEC6FC3445759730789D4322B0BE73DC695C7

SHA-1样本

5CE3CDFB61F3097E5974F5A07CF0BD2186585776
FAC3FB1C20F2A56887BDBA892E470700C76C81BA
AA374FA424CC31D2E5EC8ECE2BA745C28CB4E1E8
E50AD1A7A30A385A9D0A2C0A483D85D906EF4A9C
DC72D464289102CAAF47EC318B6110ED6AF7E5E4
9F7B4004018229FAD8489B17F60AADB3281D6177
2A2839F69EC1BA74853B11F8A8505F7086F1C07A
8EDB488B5F280490102241B56F1A8A71EBEEF8E3

代码签名证书序列号

00B7F19B13DE9BEE8A52FF365CED6F67FA
4C8DEF294478B7D59EE95C61FAE3D965