卡巴斯基近日发布公告,称 Lazarus黑客组织正在改变目标、战术,进行一项名为“死亡笔记”的攻击计划,目标直指国防工业。
“死亡笔记”攻击时间线
过去Lazarus黑客组织多针对加密货币领域持续攻击,但近几年它也将目标对准了东欧和世界其他地区的汽车、学术和国防部门,这是一个“重要”的转变。
追踪“死亡笔记”
Lazarus 长期以来一直以加密货币相关业务为目标。在监控攻击者的活动时,安全专家注意到在一个特定案例中,该黑客组织使用了经过重大修改的恶意软件。
2019 年 10 月中旬,安全专家发现了一份可疑文件。经进一步调查,发现该武器化文档背后的攻击者自 2018 年 10 月以来一直在使用类似的含有特定加密货币,以及对比特币挖矿公司介绍的恶意 Word 文档。
将目标重点转移到国防工业
在跟踪此活动时,安全专家发现该组织的攻击目标发生了重大变化——DeathNote 被用于针对东欧的汽车和学术部门,这两个部门都与国防工业关系紧密。攻击者会将所有诱饵文件转换为与国防承包商和外交部门相关的职位描述。
此外,攻击者还改进了其感染链,在其武器化文档中使用远程模板注入技术,并利用木马化的开源 PDF 查看器软件。
这两种感染方法都会产生相同的恶意软件(DeathNote 下载程序),该恶意软件负责上传受害者的信息并根据 C2 的判断检索下一阶段的有效负载。最后,在内存中执行COPPERHEDGE变体。
扩大目标并采用新的感染媒介
2021 年 5 月,欧洲一家提供监控网络设备和服务器解决方案的 IT 公司被同样的攻击者入侵。据信,Lazarus 集团对该公司广泛使用的软件或其供应链感兴趣。
2021 年 6 月上旬,Lazarus 组织开始利用一种新的感染机制来针对韩国的目标。引起我们注意的一件事是,恶意软件的初始阶段是由在韩国广泛使用的合法安全软件执行的。
大约在同一时间,拉丁美洲的一家国防承包商被同一个后门入侵。最初的感染媒介与其他国防工业目标中看到的类似,涉及使用带有特制 PDF 文件的木马化 PDF 阅读器。
2022 年 7 月,Lazarus 组织成功攻破了非洲的一家国防承包商。
最初的感染是一个可疑的 PDF 应用程序,它是通过 Skype 信使发送的。执行 PDF 阅读器后,它在同一目录中创建了合法文件 (CameraSettingsUIHost.exe) 和恶意文件 (DUI70.dll)。
这种攻击严重依赖于在前一个案例中观察到的相同 DLL 侧加载技术。最初由 PDF 阅读器植入和执行的有效负载负责收集和报告受害者的信息,以及从名为 LPEClient 的远程服务器检索额外的有效负载。Lazarus 组织在各种活动中多次使用此恶意软件。
他们还利用相同的 DLL 侧面加载技术植入能够进行后门操作的其他恶意软件。为了横向跨系统移动,演员使用了一种有趣的技术,称为服务移动。
Lazarus 组织攻击策略
在调查此活动期间,安全专家对 Lazarus 组织的后开发策略有了广泛的了解。
初次感染后,操作员执行大量 Windows 命令以收集基本系统信息并尝试查找有价值的主机,例如 Active Directory 服务器。
在横向移动之前,Lazarus 小组使用众所周知的方法获取了 Windows 凭据,并采用了公共技术,例如 ServiceMove。
当该组织完成任务并开始窃取数据时,他们主要使用 WinRAR 实用程序压缩文件并通过 C2 通信通道传输。
| 阶段 | 例子 |
| 基本侦察 | 通常使用的 Windows 命令。例如:
在一种情况下,他们直接访问默认域控制器策略。 cmd.exe /c “键入“\[已编辑]SYSVOL[已编辑]Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}MACHINEMicrosoftWindows NTSecEditGptTmpl.inf” |
| 寻找高价值主机 | 为了找到连接的远程桌面主机,它使用 Windows 命令或从注册表中查询保存的服务器列表。
cmd.exe /c netstat -ano | 查找字符串 3389 cmd.exe /c reg query HKEY_USERSS-1-5- [redacted] -1001SoftwareMicrosoftTerminal Server ClientServers 利用 ADFind 工具获取 Active Directory 信息。 cmd.exe /c “%appdata%[redacted].xic -b dc=[redacted],dc=[redacted] -f “sAMAccountName=[redacted]” >> %temp%dm3349.tmp 2>&1″ |
| 获取登录凭据 | 利用精心制作的 Mimikatz 转储登录凭据或使用Responder工具捕获凭据。 |
| 横向运动 | 在远程主机上启动命令的一种常见方法是使用 SMB 连接或 ServiceMove 技术等方法。 |
| 渗透 | 在通过 C2 通道发送被盗文件之前使用 WinRAR 压缩文件。
adobearm.exe a -hp1q2w3e4 -m5 -v2000000k “%Local AppData%AdobeSYSVOL800.CHK” “\[redacted]FILE02.[redacted]Projects[redacted] 概念演示” %appdata%USOSharedUSOShared.LOG1 a -hpb61de03de6e0451e834db6f185522bff -m5 “%appdata%USOSharedUSOShared.LOG2” “%appdata%ntuser.001.dat” |
DeathNote 攻击行动背后
在跟踪 DeathNote 攻击者及其来源后,安全专家确定幕后是 Lazarus 组织。
通过分析 DeathNote 恶意软件向受害者发送的 Windows 命令,发现大部分都是在格林威治标准时间 00:00 到 07:00 之间执行的,由此可以推断该演员位于 GMT+08 或 GMT+09 时区。
此外,演员留下了韩语评论“정상호출”,在C2剧本中翻译为“正常通话”。这进一步支持了Lazarus是韩语系攻击者的假设。
原文始发于微信公众号(安全客):Lazarus 黑客组织发起“死亡笔记”攻击计划,目标直指国防工业
