Lazarus组织针对加密货币行业的社工攻击

2021-09-02 7,799

【事件背景】

近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开Secure PDF Viewer.exe无恶意行为,Android Hardware Wallet.pdf无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。

对比2021年初Google披露的Lazarus组织针对安全研究人员的攻击活动,发现本次活动有以下特征:

(1) 对加密货币相关目标发起攻击,符合Lazarus组织的一贯的“搞钱”目标;

(2) 本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字;

(3) C2格式与2021年初披露的C2格式一致,  形如image/upload/upload.asp;

攻击流程如下:

image.png 

 

 

 

【详细分析】

诱饵pdf文件Android Hardware Wallet.pdf打开后内容如下,可根据内容和文件名判断为针对加密货币行业的攻击活动

image.png 

 

其社工攻击发送文件如下,其中”Secure PDF Viewer.exe”为为攻击者修改过的PDF开源软件,”Android Hardware Wallet.pdf” 为恶意PDF文件

image.png 

 

“Secure PDF Viewer.exe”其在文件处理逻辑部分加入了恶意代码,用于解密与执行恶意文档中的第一阶段payload

image.png 

 

首先,创建“C:\\Programdata\\WindowsUpdate”路径,并且读取打开文档最后4个字节数据是否存在标记0x78563412,如果存在该标记则该文档为恶意文档

image.png 

 

读取恶意文档尾部0x208字节数据,并且使用xor解密(xor解密秘钥为0xE4)出相关数据data1

image.png 

 

解密出的数据data1如下图,解密出的数据为第一阶段payload的相关执行参数,分别为函数名、16字节校验数据以及未知数字

image.png 

该文件读取诱饵pdf文件大小,并解密该诱饵文件释放到“%appdata%”下同名文件

image.png 

接着会解密第二阶段payload数据,将第二阶段payload数据写入文件C:\ProgramData\WindowsUpdate\MSCache.cpl并通过rundll32.exe调用执行

image.png 

 

其释放的第二阶段payload相关信息如下

描述

详细信息

名称

MSCache.cpl/CAST.dll

文件大小

110080 bytes

文件类型

exe

文件功能

dropper

编译时间

2021-04-07 00:15:37 (UTC+0)

开发平台及语言

win/c++

Pdb

/

是否加壳

md5

d33bceb356a04***ce8cf5baea860239

 

其原名为CAST.dll最终会调用CAST_encryptW导出函数执行后续动作。

image.png 

 

接着内存加密第三阶段payload数据,并在内存展开并执行

image.png 

 

其第三阶段payload相关信息如下

描述

详细信息

名称

Dll.dll

文件大小

460960 bytes

文件类型

exe

文件功能

downloader

编译时间

2021-04-07 00:15:37 (UTC+0)

开发平台及语言

win/c++

Pdb

/

是否加壳

md5

93d04c28e2f1448a273a8e554260bd9d

 

第三阶段payload为一个下载器,首先会初始化相关网络请求数据

image.png 

 

接着尝试向C2下载第四阶段payload并反射执行,目前C2已经无法通信,无法获取第四阶段payload数据

image.png 

 

【溯源关联】

本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字

image.png 

C2格式与2021年初披露的C2格式一致,形如image/upload/upload.asp”

image.png 

基于攻击目标和技术特征多种关联结果,确定本次攻击事件其相关组织为Lazarus组织。

IOC】

md5

1a00ef6c4cc9ae09f3f7d59cd726add1

819edb8646bf2f877ab636a8b27caafd

url

https://www.smartaudpor[.]com/image/upload/upload.asp

domain

www.smartaudpor[.]com

 

【参考链接】

2021年谷歌年初披露的Lazarus报告】https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers

【深信服2021年年初披露的Lazarus分析报告】

https://mp.weixin.qq.com/s/8hLNDgrRcbvP3W0ASrwOwQ

 

 

 


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/165499.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号