隐藏的Cobra APT黑客通过远程SMB工具攻击日本组织

最近,隐藏的眼镜蛇APT威胁参与者通过混淆恶意软件攻击了日本组织。该恶意软件下载并管理所有模块,然后将其作为.drv文件保存在C:¥Windows¥System32¥之类的文件夹中,并作为辅助工具运行。隐藏的眼镜蛇也被称为Lazarus,这是朝鲜APT黑客组织,自2009年以来就参与了全球各个政府和私营部门的各种知名网络攻击。

Cobra APTCobra APT黑客远程攻击SMB

恶意软件混淆

这是一种使文本和二进制数据难以让人接受的方法,它可以使威胁参与者隐藏所有关键字符串;它是一个展示恶意软件行为模式的程序。这种类型的字符串将被签名为密钥和受感染的URL。在这种情况下,威胁参与者使用VMProtect混淆了服务。在这种类型的恶意软件中,攻击者使用加密/编码方法来隐藏安全程序中的所有数据。在某些情况下,咨询会更进一步,并使用一些名为“打包程序”的特殊工具来混淆整个程序,这会使向后的计划和解释变得更加复杂。

配置存储在哪里?

该恶意软件的配置(大小:0x6DE)被加密并收集在注册表记录中,并在执行时进行排列。在此分析中,已确认在最终目录中收集了配置:

密钥:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceseventlogApplication

根据jpcert 报告,恶意软件中的所有字符串均与AES128一起加密,这就是加密密钥在这种类型的恶意软件中进行硬编码的原因。此外,Windows API标题也经过AES加密。稍后,当它解密API字符串时,将确定由LoadLibrary和GetProcAddress命名的API的地址。

 

模块下载 

下载模块后,它将执行一些主要功能,就像从C&C服务器获取命令一样。并由以下模块执行七种操作:

  • 对文件的操作(创建列表,删除,复制,修改创建的时间)
  • 对进程的操作(创建列表,执行,终止)
  • 上传/下载文件
  • 创建并上传任意目录的ZIP文件
  • 执行任意的shell命令
  • 获取磁盘信息
  • 修改系统时间

除此之外,安全专家仍在调查Lazarus和许多宣布该行为的组织所进行的活动。专家们还声称,这种攻击在多个国家中都可以看到。如果不能尽快解决,那么类似的攻击将在日本再次发生。

最后,攻击者借助Python工具“ SMBMAP ” 传播了感染并利用了帐户信息,该工具在通过Pyinstaller将其转换为Windows PE文件后,可以通过SMB访问远程主机。