【事件背景】
近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动,该组织在寻找到攻击目标信息后,疑似通过即时通讯软件主动和目标取得联系,并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开”Secure PDF Viewer.exe”无恶意行为,”Android Hardware Wallet.pdf”无法用常规软件打开,所以该组织会利用社工的方式,诱使攻击目标使用exe文件查看pdf文件,最终解密出后台恶意程序执行,达到远控和窃取信息的目的。
对比2021年初Google披露的Lazarus组织针对安全研究人员的攻击活动,发现本次活动有以下特征:
(1) 对加密货币相关目标发起攻击,符合Lazarus组织的一贯的“搞钱”目标;
(2) 本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”;
(3) C2格式与2021年初披露的C2格式一致, 形如“image/upload/upload.asp”;
攻击流程如下:
【详细分析】
诱饵pdf文件Android Hardware Wallet.pdf打开后内容如下,可根据内容和文件名判断为针对加密货币行业的攻击活动
其社工攻击发送文件如下,其中”Secure PDF Viewer.exe”为为攻击者修改过的PDF开源软件,”Android Hardware Wallet.pdf” 为恶意PDF文件
“Secure PDF Viewer.exe”其在文件处理逻辑部分加入了恶意代码,用于解密与执行恶意文档中的第一阶段payload
首先,创建“C:\\Programdata\\WindowsUpdate”路径,并且读取打开文档最后4个字节数据是否存在标记0x78563412,如果存在该标记则该文档为恶意文档
读取恶意文档尾部0x208字节数据,并且使用xor解密(xor解密秘钥为0xE4)出相关数据data1
解密出的数据data1如下图,解密出的数据为第一阶段payload的相关执行参数,分别为函数名、16字节校验数据以及未知数字
该文件读取诱饵pdf文件大小,并解密该诱饵文件释放到“%appdata%”下同名文件
接着会解密第二阶段payload数据,将第二阶段payload数据写入文件C:\ProgramData\WindowsUpdate\MSCache.cpl并通过rundll32.exe调用执行
其释放的第二阶段payload相关信息如下
描述 |
详细信息 |
名称 |
MSCache.cpl/CAST.dll |
文件大小 |
110080 bytes |
文件类型 |
exe |
文件功能 |
dropper |
编译时间 |
2021-04-07 00:15:37 (UTC+0) |
开发平台及语言 |
win/c++ |
Pdb |
/ |
是否加壳 |
否 |
md5 |
d33bceb356a04***ce8cf5baea860239 |
其原名为CAST.dll最终会调用CAST_encryptW导出函数执行后续动作。
接着内存加密第三阶段payload数据,并在内存展开并执行
其第三阶段payload相关信息如下
描述 |
详细信息 |
名称 |
Dll.dll |
文件大小 |
460960 bytes |
文件类型 |
exe |
文件功能 |
downloader |
编译时间 |
2021-04-07 00:15:37 (UTC+0) |
开发平台及语言 |
win/c++ |
Pdb |
/ |
是否加壳 |
否 |
md5 |
93d04c28e2f1448a273a8e554260bd9d |
第三阶段payload为一个下载器,首先会初始化相关网络请求数据
接着尝试向C2下载第四阶段payload并反射执行,目前C2已经无法通信,无法获取第四阶段payload数据
【溯源关联】
本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致,都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”
其C2格式与2021年初披露的C2格式一致,形如”image/upload/upload.asp”
基于攻击目标和技术特征多种关联结果,确定本次攻击事件其相关组织为Lazarus组织。
【IOC】
md5 |
1a00ef6c4cc9ae09f3f7d59cd726add1 |
819edb8646bf2f877ab636a8b27caafd |
|
url |
https://www.smartaudpor[.]com/image/upload/upload.asp |
domain |
www.smartaudpor[.]com |
【参考链接】
【2021年谷歌年初披露的Lazarus报告】https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers
【深信服2021年年初披露的Lazarus分析报告】
https://mp.weixin.qq.com/s/8hLNDgrRcbvP3W0ASrwOwQ
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/165499.html