APT-C-26(Lazarus)是一个活跃的APT组织,其下的Andariel子组织自2009年以来一直活跃,主要对位于韩国的实体进行破坏性和以经济动机为驱动的网络攻击。
近期,Kaspersky揭示了Andariel组织下新出现的恶意攻击组件——EarlyRat[1]。为深入了解其行为模式,我们对此进行了调查,并利用360安全大脑成功追踪到了EarlyRat的活动踪迹,进一步挖掘其与早期攻击活动的联系。
一、攻击活动分析
1.攻击流程分析
在我们的观察中,疑似攻击者通过Skype发送诱饵文件下载链接,之后用户通过谷歌浏览器下载了含有恶意文档的压缩文件。一旦用户被诱导打开该文件,攻击者则利用伪装成Microsoft信息的技巧,诱使用户启用宏功能。一旦用户上钩,宏将被激活并释放EarlyRat,然后开始窃取用户信息和执行恶意命令。
2.载荷投递分析
攻击者以冒充Microsoft的方式设计了诱饵文件,其目的在于诱导用户运行恶意宏代码。这些恶意宏首要任务是将内置二进制数据写入系统临时文件夹,具体路径为 %Temp%1vqar5tgi51.sak,接着借助cmd来执行以下命令。
/c ping -n 16 226.132.219.125&pushd&forfiles /P %tmp% /S /M 1Vqar5tGI51*.sak /C "cmd /c move /y @file "%appdata%MicrosoftWindowsStart MenuProgramsStartupWHealthScanner.exe"&ping -n 14 74.124.228.148&pushd&"%appdata%MicrosoftWindowsStart MenuProgramsStartupWHealthScanner.exe""
攻击者利用命令提示符对特定IP地址(226.132.219.125和74.124.228.148)执行ping操作,并在系统临时文件夹中寻找特定的恶意文件。找到后,文件将被移动并重命名为WHealthScanner.exe,存储在用户的启动文件夹中,以便在每次系统启动时都会运行。这种行为表明攻击者正试图获取持久的系统访问权限,并且该方法具有较高的隐蔽性。
3.攻击组件分析
由宏代码投递的恶意二进制文件被命名为EarlyRat[1]。EarlyRat是一个采用PureBasic框架编写的相对简单的远程访问木马(RAT)组件。尽管其设计较为简洁,但其能够高效地执行攻击者下发的命令和执行文件,这意味着攻击者能够利用EarlyRat在受害者的计算机上进行一系列的远程操作,从简单的系统监控到复杂的数据窃取或者更进一步的系统破坏,其灵活性和易用性让EarlyRat成为攻击者的有效工具。
恶意样本使用内置的key(n>t#8;S<)对base64编码数据进行XOR解密得到所需字符串,例如C2地址、请求代理等;
图3 解密字符
然后获取用户系统MAC地址、计算机名和IP地址,通过CRC32校验算法计算出“机器标识ID”;
对获取的系统IP地址、计算机名、用户名、系统版本和位数用“机器标识ID”进行滚动XOR加密,之后再对加密数据进行base64编码,并将其转化为URL编码数据;
在成功接收到C2返回的数据后,获取“rnrn”后的数据,并在“%temp%”目录创建文件,将提取的数据写入到文件中;
之后会检查数据的第11个字节到第18个字节是否是11到81(十进制),然后使用第19到26个字节作为密钥XOR解密后续加密数据;
在我们的观察中,攻击者执行了“cmd.exe /c systeminfo & netstat -naop tcp & ipconfig /all & tasklist”命令,通过cmd命令提示符,收集了关于受害者系统的详细信息,网络连接状况,网络接口的配置信息以及当前运行中的所有任务或进程。这可能是为了了解系统环境、识别潜在的攻击矢量,或者寻找用于深度渗透的进一步信息。
如果包含三段数据,则第二段和第三段为文件名和文件数据。其中如果投递的文件是可执行文件,则添加额外的40,000,000字节随机数据。
二、归属研判
在2022年9月,网络安全公司Cisco揭露了一起严重的网络攻击事件:Lazarus组织在2022年2月至7月期间,运用包括MagicRAT在内的多个恶意组件,对全球范围内的能源供应商进行攻击。在这次攻击中,攻击者利用log4j漏洞作为入侵点,并部署了众多恶意组件。值得注意的是,Cisco在其报告中披露了一个IP地址(40.121.90[.]194),这一地址与我们在分析EarlyRat过程中所发现的C2地址完全一致。
此外,Kaspersky在其报告中指出,EarlyRat是可以通过利用log4j漏洞进行部署的,同时我们在2022年3月发现了攻击者利用EarlyRat的攻击活动,其时间和恶意组件的部署方式与Cisco披露的信息基本符合。基于这些一致性,我们有理由相信我们所发现的利用EarlyRat的攻击活动,正是2022年上半年Lazarus组织发起的大规模行动的一部分。
三、防范排查建议
考虑到攻击者疑似采用了通过聊天工具向目标投递恶意压缩文件,进一步通过宏文档释放RAT以窃取用户信息的策略,我们有必要引入一系列预防和检测措施。这些措施旨在加强网络安全防护,遏制此类攻击的成功可能性,以下是我们的一些建议:
1. 聊天工具的安全使用:教育员工或用户,对通过聊天工具接收到的任何未经请求的文件或链接保持警惕,尤其是来自不熟悉的发送者或看起来可疑的文件。
2. 保持浏览器更新:始终确保您的浏览器是最新版本。浏览器的更新往往包含了最新的安全补丁,可以帮助阻止恶意软件的入侵。
3. 下载内容审查:始终谨慎对待所有下载内容,无论它们来自何处。只从可信的来源下载,并在打开任何下载文件之前都进行扫描。
4. 宏的使用:在打开任何包含宏的文档时,应始终保持警惕。最好的策略是默认禁用所有宏,并只在需要且来自可信来源的情况下手动启用。
5. 启动文件夹管理:在启动文件夹搜索WHealthScanner.exe,并使用360安全卫士进行扫描分析。
6. 定期更新和补丁管理:保持所有系统、应用程序和防病毒软件的最新版本,以确保您的网络对最新的安全威胁有所准备。
7. 开展网络安全意识培训:定期进行网络安全培训,使员工了解最新的网络威胁,包括如何识别和处理恶意软件、钓鱼攻击和其他网络安全问题。
8. 定期审计和监控:定期审计和监控网络活动,尤其是对内部和外部数据传输的监控,以便能及时发现不寻常的数据访问或传输行为。
9. 使用专业防病毒软件:使用知名的安全软件,如360安全卫士,可以帮助检测并阻止EarlyRat等恶意软件。
8031958a3156187fa53490fb98c39afd
344a7f277f3d7dd2dc0e86f69c3ca49d
39598b710e44a5d27684dfa463ce5148
e439f850aa8ead560c99a8d93e472225
d642c62147fbdee00412c0604a25a58b
74f1b7a57cd76279ec16b311089995a6
78e7b9ab205ea31f7eef26de6293f103
http://40.121.90.194/help.php
[1]https://www.kaspersky.com/about/press-releases/2023_kaspersky-uncovers-new-malware-family-used-by-andariel-lazarus-subgroup
[2]https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
原文始发于微信公众号(360威胁情报中心):APT-C-26(Lazarus)组织使用EarlyRat的攻击活动分析