疑似APT-C-26(Lazarus)组织通过加密货币钱包推广信息进行攻击活动分析
ISO文件是未压缩的存档磁盘映像文件,它代表光盘(CD\DVD)上的全部数据,大多数时候ISO文件被刻录到USB/CD/DVD作为可引导内容,用于引导机器进行安装。由于ISO文件的特性,在诱饵文件的使用上深受Lazarus、Winnti、TA505等APT组织的青睐。
近日360高级威胁研究院监测到一起疑似APT-C-26(Lazarus)组织以加密货币钱包推广信息为主题投递恶意ISO文件的攻击事件,攻击者在ISO文件内打包了一个恶意快捷方式(.lnk)文件,当用户打开该快捷方式文件时会调用powershell.exe进程从自身文件中查找数据释放3个文件并执行其中的恶意DLL文件(诱饵PDF、加载器DLL、密文文件),在执行了DLL加载器后最终解密出的后门软件疑似Lazarus组织的NukeSped家族后门。
一、受影响情况
该起攻击事件中主要针对加密货币持有者,攻击者以一款名为Somora的加密货币钱包推广文件向加密货币持有者投递,主要目的疑为窃取加密货币。
二、攻击活动分析
1.攻击流程分析
完整的攻击流程如下:
2.恶意载荷分析
攻击者在ISO文件中打包了几张Somora加密钱包程序页面截图和一个命名为“Somora Cryptocurrency Wallet”的快捷方式文件。当受害用户运行了包含恶意代码的快捷方式文件,快捷方式文件会调用powershell.exe进程从自身文件中截取数据分别在%userprofile%\Documents目录下释放一个PDF文件,在%temp%目录释放一个DLL文件和一个密文数据文件。
图 1:ISO打包的文件
打包在ISO文件内的Somora加密钱包截图文件。
图 2:ISO内的Somora加密钱包应用截图
释放的Somora加密货币钱包应用推广PDF文档信息。
图 3:释放的PDF推广信息
Powershell进程执行了指令后,先后打开诱饵PDF文件以及调用rundll32.exe以指定导出函数和命令行执行落地在%temp%目录下的DLL文件。
图 4:lnk文件执行的恶意代码
落地%temp%目录下的DLL文件实则为loader程序,loader程序正常运行的话从指定导出函数执行,并通过命令行获取密文数据的文件名将其文件数据读取到内存中,随后使用特定key进行异或运算解密得到第一阶段的Shellcode运行。
图 5:异或解密Shellcode
3.攻击组件分析
Lazarus组织使用的NukeSped家族后门历史悠久,其使用历史可追溯到2015年前。发展至今衍生出多个版本其后门功能也五花八门,因此次事件中Shellcode解密出来的后门程序中使用的特殊字符、代码结构、代码习惯上都与NukeSped家族后门存在相似度,所以推测是NukeSped家族后门的某变种版本。
一阶段中解密出的Shellcode其主要功能是将Shellcode中打乱编码的后门程序数据进行还原并装载运行。
图 6:编码打乱的PE数据
由于是从多段Shellcode中解密数据进行装载和经典NukeSped后门不同它显得更加“简洁”,后门程序所需使用的敏感字符信息以及敏感API信息都未做“掩饰”处理。
后门的C&C地址以及运行过程中使用的字段信息都以硬编码的形式存储。
图 7:C&C地址
在正式发送上线包之前程序获取当前进程的PID充当上线包tuid字段值,并获取一个随机数使用自定义编码进行异或运算后转成base64字符充当上线包payload字段值。
图 8:上线字段信息
发送上线包时后门程序通过检索注册表判断当前机器是否使用代理确保上线包正常发出,上线包以POST请求指定443端口向攻击者C&C服务器进行发送。
图 9:上线包发送
攻击者返回的base64指令数据先进行base64解码处理后再使用自定义的编码进行异或解码。
图 10:异或编码
后门指令支持攻击者在受害用户机器上获取用户机器信息、落地文件、执行指定命令等操作。
进程注入 | |
三、技战法变化
与以往披露的NukeSped家族后门不同,此次发现的后门未与杀毒引擎的静态扫描做对抗,而以往发现的NukeSped家族后门则使用RC4或者是DES加密对C&C服务器列表和所使用的字符信息进行加密处理用以规避杀毒引擎的静态扫描。
在网络行为中也抛弃了使用对称加密算法对受害机器信息进行加密,换用了自定义的异或算法加密。
四、归属研判
Lazarus组织的NukeSped家族后门历史悠久期间衍生了多个版本变种,此次捕获到的后门软件在某些地方让人不禁联想到NukeSped家族后门。
在ESET公司2018年Lazarus行动总结报告[1][2]中披露有用于命令行格式化字符串多次被Lazarus所使用。
图表 11:所披露用于的格式化字符
此次活动中使用的后门程序中回传命令执行代码。
图 12:此次事件样本
以往Lazarus活动中使用的NukeSped后门样本中的回传命令执行代码,对比之下几乎一致。
图 13:0ae1172aaca0ed4b63c7c5f5b1739294(以往)
此次攻击活动中发现的后门程序和以往披露的NukeSped家族后门一样习惯使用硬编码存储C&C服务器地址和端口信息,习惯在代码中引用随机数,以及其标志性的后门指令都让人联系到Lazarus组织的NukeSped家族后门。
因此我们有理由怀疑此次攻击活动中使用的后门软件是Lazarus组织所使用的NukeSped家族后门某一变种。
图14:此次事件中后门指令的识别于执行
以往的NukeSped家族后门指令提取。
图15:后门指令格式
droidnation[.]net/nation.php
https://github.com/eset/malware-ioc/blob/master/nukesped_lazarus/README.adoc
360高级威胁研究院