共计 6575 个字符,预计需要花费 17 分钟才能阅读完成。
译者:晓得创宇 404 实验室翻译组 原文链接:https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/
前言
在跟踪 Lazarus 组织的流动时,咱们发现他们最近瞄准了与 COVID-19 相干实体。9 月底,他们袭击了一家制药公司。此外,他们还袭击了与 COVID-19 无关的政府部门。而且,每一次攻打都应用了不同的战术、技术和程序(TTP)。
在这篇文章中,咱们讲述了两个不同的事件。
第一起事件是针对政府卫生部的攻打:2020 年 10 月 27 日,卫生部的两台 Windows 服务器受到毁坏。咱们无奈辨认感化媒介,但攻击者可能在这些服务器上安装一个简单的恶意软件集。这个恶意软件集名为“wAgent”,它的次要组件只在内存中工作,并从近程服务器获取额定的无效负载。
第二起事件波及一家制药公司。这家公司在 2020 年 9 月 25 日被入侵。这一次,Lazarus 组织通过一家韩国软件公司在供应链攻打中部署了此前由 ESET 报告的 Bookcode 恶意软件。
wAgent 恶意软件集
恶意软件集具备简单的感化计划:
(wAgent 恶意软件集的感化计划)
可怜的是,咱们无奈获取此攻打中应用的启动程序模块。该模块应用特定的参数执行 wAgent。咱们收集到的其中一个 wAgent 样本有伪造的元数据,以使其看起来像非法的压缩实用程序[XZ-Utils]。
通过调用 Thumbs export 函数,该恶意软件应用以下参数通过命令行 shell 间接在受害者机器上执行:
c:windowssystem32rundll32.exe
C:ProgramdataOraclejavac.dat, Thumbs 8IZ-VU7-109-S2MY
16 字节的字符串参数用作 AES 密钥,用于解密嵌入的无效负载——Windows DLL。当嵌入式负载加载到内存中时,它应用给定的解密密钥解密配置信息。配置蕴含各种信息,包含 C2 服务器地址,以及稍后应用的文件门路。只管配置指定了两个 C2 服务器,但它两次蕴含同一个 C2 服务器。乏味的是,这个配置有几个 URL 门路,用“@”符号分隔。恶意软件试图随机连贯到每个 URL 门路。
(配置中的 C2 地址)
首次执行该恶意软件时,它会生成标识符以应用随机的哈希值辨别每个受害者。它还会生成一个 16 字节的随机值并颠倒其程序。接下来,恶意软件应用“@”作为分隔符将这个随机的 16 字节值和哈希值连接起来。即:82UKx3vnjQ791PL2 @ 29312663988969
POST 参数名称(如下所示)在运行时解密,并在每个 C2 连贯中随机抉择。值得注意的是,Tistory 提供韩国的博客公布服务,这意味着恶意软件攻击者相熟韩国的互联网环境。
该恶意软件将生成的标识符编码为 base64,并将其公布到 C2。最初,代理从 C2 服务器获取下一个无效负载,并将其间接加载到内存中。可怜的是,咱们无奈取得它的正本,但依据遥测,获取的无效负载是蕴含后门性能的 Windows DLL。应用此内存后门,恶意软件攻击者执行了许多 shell 命令以收集受害者信息:
cmd.exe /c ping -n 1 -a 192.[redacted]
cmd.exe /c ping -n 1 -a 192.[redacted]
cmd.exe /c dir 192.[redacted]c$
cmd.exe /c query user
cmd.exe /c net user [redacted] /domain
cmd.exe /c whoami
wAgent 部署
通过应用 wAgent 后门,操作人员装置了一个额定的 wAgent 无效负载,它具备持久性机制。在获取这个 DLL 之后,应用以下命令执行一个名为 SagePlug 的导出:
rundll32.exe
c:programdataoraclejavac.io,SagePlug4GO-R19-0TQ-HL2A c:programdataoracle~TMP739.TMP
4GO-R19-0TQ-HL2A 用作键,文件门路批示保留调试音讯的地位。这个 wAgent 安装程序的工作原理相似于下面形容的 wAgent loader 恶意软件。它负责在用命令行中的 16 字节密钥解密嵌入式无效负载后,再进行加载。在解密的无效负载中,恶意软件会生成一个文件门路来持续感化:
· C:Windowssystem32[random 2 characters]svc.drv
该文件伪装成名为 SageThumbs Shell Extension 的非法工具。该工具间接在 Windows 资源管理器中显示图像文件。然而,它外部蕴含一个附加的歹意例程。
创立此文件时,装置程序模块将应用随机数据填充该文件以减少其大小。恶意软件还会将 cmd.exe 的创立工夫复制到新文件中,使其不那么容易被发现。
为了进行日志记录和调试,恶意软件将信息存储在作为第二个参数提供的文件中(在这种状况下为 c:programdataoracle〜TMP739.TMP)。此日志文件蕴含工夫戳和无关感化过程的信息。咱们察看到,攻击者正在应用 Windows 命令手动查看此文件。这些调试音讯的构造与以前的恶意软件雷同,该恶意软件用于攻打波及 Lazarus 组织的加密货币业务。
之后,恶意软件会解密其嵌入的配置。该配置数据具备与上述 wAgent 恶意软件类似的构造。它还蕴含具备雷同格局的 C2 地址:
· hxxps://iski.silogica[.]net/events/serial.jsp@WFRForms.jsp@import.jsp@view.jsp@cookie.jsp
· hxxp://sistema.celllab[.]com.br/webrun/Navbar/auth.jsp@cache.jsp@legacy.jsp@chooseIcon.jsp@customZoom.jsp
·
hxxp://www.bytecortex.com[.]br/eletronicos/digital.jsp@exit.jsp@helpform.jsp@masks.jsp@Functions.jsp
· hxxps://sac.najatelecom.com[.]br/sac/Dados/ntlm.jsp@loading.jsp@access.jsp@local.jsp@default.jsp
该恶意软件会加密配置数据,并将其存储为带有其文件名的预约义注册表项:
· HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlogApplicationEmulate – [random 2 characters]svc
通过将创立的文件门路注册到现有注册表值的开端,它还利用了 Custom Security Support Provider。该 DLL 将在下一次启动时由 lsass.exe 加载。
· HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa – Security Packages : kerberos msv1_0 schannel wdigest tspkg pku2u [random 2 characters]svc.drv
最初,启动程序模块在近程过程中启动[random 2 characters]svc.drv 文件。它搜寻第一个 svchost.exe 过程并执行 DLL 注入。注入的[random 2 characters]svc.drv 恶意软件蕴含用于解密和加载其嵌入式无效负载的歹意例程。最终的无效负载是 wAgent,它负责从 C2(可能是功能齐全的后门)中获取其余无效负载,并将其加载到内存中。
Bookcode 恶意软件集
Lazarus 组织应用 Bookcode 恶意软件对制药公司进行攻打。该公司正在开发 COVID-19 疫苗,并被受权生产和销售 COVID-19 疫苗。在此之前,Lazarus 曾用 Bookcode 恶意软件攻打了韩国的一家软件公司,可能是针对该公司的源代码或供应链。Lazarus 组织在过来进行了鱼叉式网络钓鱼或战略性网站毁坏,以流传 Bookcode 恶意软件。然而,咱们无奈确定初始的感化媒介。整个感化过程与 ESET 最新 [报道] 形容的过程十分类似。
(Bookcode 感化程序)
只管咱们没有发现负责部署加载程序及其加密的 Bookcode 无效负载的恶意软件,但咱们可能辨认出加载程序样本。该文件负责加载位于零碎文件夹中的名为 gmslogmgr.dat 的加密无效负载。解密无效负载后,加载程序会找到带有 winmgmt、ProfSvc 或 Appinfo 参数的服务主机过程(svchost.exe),并将无效负载注入其中。可怜的是,咱们无奈获取加密的无效负载文件,然而咱们可能在受益机器上重建恶意软件操作,并将其辨认为 Bookcode 恶意软件。
执行后,Bookcode 恶意软件将读取配置文件。尽管先前的 Bookcode 示例应用文件 perf91nc.inf 作为配置文件,但此版本从名为 C_28705.NLS 的文件读取其配置。此 Bookcode 示例具备与韩国互联网安全局(KISA)最近公布的综合报告中所述的恶意软件简直雷同的性能。如该报告第 57 页所述,一旦恶意软件启动,它就会将无关受害者的信息发送给攻击者。与 C2 服务器通信后,该恶意软件提供了规范的后门性能。
后阶段攻打
Lazarus 组织应用 Bookcode 恶意软件集的流动具备本人独特的 TTP,并且在此攻打中应用了雷同的作案手法。
· 从注册表 sam 转储中提取受感化的主机信息,包含明码哈希。
· 应用 Windows 命令以查看网络连接。
· 应用 WakeMeOnLan 工具扫描同一网络中的主机。
在 2020 年 9 月 25 日装置 Bookcode 之后,攻击者开始从受害者那里收集零碎和网络信息。攻击者还收集了蕴含明码哈希的注册表 sam 转储:
· exe /c“reg.exe save hklmsam %temp%~reg_sam.save >“%temp%BD54EA8118AF46.TMP~”2>&1″
· exe /c“reg.exe save hklmsystem %temp%~reg_system.save >“%temp%405A758FA9C3DD.TMP~”2>&1″
横向挪动阶段,攻击者在获取帐户信息后,应用“net”命令连贯到另一台主机,并应用“wmic”命令执行了复制的无效负载。
此外,Lazarus 应用 ADfind 以便从 Active Directory 收集其余信息。攻击者应用此实用程序提取了受害者的用户和计算机的列表。
Bookcode 根底构造
咱们发现了另一个配置文件,它蕴含四台 C2 服务器,所有这些服务器都是位于韩国的受损 Web 服务器。
· hxxps://www.kne.co[.]kr/upload/Customer/BBS.asp
· hxxp://www.k-kiosk[.]com/bbs/notice_write.asp
· hxxps://www.gongim[.]com/board/ajax_Write.asp
· hxxp://www.cometnet[.]biz/framework/common/common.asp
这些 C2 服务器的其中一个启用了目录列表,因而咱们可能理解攻击者如何治理 C2 服务器:
(受到攻打的网站上列出的攻击者文件)
咱们从受感化的服务器(一个“第一阶段”C2 服务器)中发现了几个日志文件和一个脚本。它从后门接管连贯,但仅充当攻击者理论存储的“第二阶段”服务器的代理。
Customer_Session.asp 是第一阶段 C2 脚本,负责从第二阶段 C2 服务器传递命令并从植入中执行命令。为了向每个受害者传递适当的命令,将来自植入程序的 bbs_code 参数用作标识符。该脚本应用此标识符将命令调配给正确的受害者。这是为特定受害者发送命令的过程的工作形式:
· 1. 恶意软件攻击者设置特定植入程序的相应标记([id] _208)并将命令保留到变量([id] _210)。
· 2. 植入程序查看相应的标记([id] _208)并从变量([id] _210)中检索命令(如果已设置)。
· 3. 执行命令后,植入程序将后果发送到 C2 服务器并设置相应的标记。
· 4. 恶意软件攻击者查看该标记,并在设置了标记的状况下检索后果。
(C2 脚本的逻辑)
除了植入程序控制性能外,C2 脚本还具备其余性能。例如更新下一阶段的 C2 服务器地址,将植入程序的标识符发送到下一阶段服务器或删除日志文件。
Bookcode 恶意软件样本之一(MD50e44fcafab066abe99fe64ec6c46c84e)蕴含许多与旧 Manuscrypt 变体重叠的代码。
论断
这两个事件表明 Lazarus 组织对与 COVID-19 相干的事物感兴趣。咱们认为,以后参加疫苗钻研或危机解决等流动的所有实体都应高度警觉网络攻击。
IOC
wAgent
dc3c2663bd9a991e0fbec791c20cbf92——%programdata%oraclejavac.dat
26545f5abb70fc32ac62fdab6d0ea5b2——%programdata%oraclejavac.dat
9c6ba9678ff986bcf858de18a3114ef3——%programdata%grouppolicyPolicy.DAT
wAgent Installer
4814b06d056950749d07be2c799e8dc2——%programdata%oraclejavac.io, %appdata%ntuser.dat
wAgent compromised C2 servers
hxxps://iski.silogica[.]net/events/serial.jsp@WFRForms.jsp@import.jsp@view.jsp@cookie.jsp
hxxp://sistema.celllab[.]com.br/webrun/Navbar/auth.jsp@cache.jsp@legacy.jsp@chooseIcon.jsp@customZoom.jsp
hxxp://www.bytecortex.com[.]br/eletronicos/digital.jsp@exit.jsp@helpform.jsp@masks.jsp@Functions.jsp
hxxps://sac.najatelecom.com[.]br/sac/Dados/ntlm.jsp@loading.jsp@access.jsp@local.jsp@default.jsp
wAgent file path
%SystemRoot%system32[random 2 characters]svc.drv
wAgent registry path
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlogApplicationEmulate – [random 2 characters]svc
Bookcode injector
5983db89609d0d94c3bcc88c6342b354%SystemRoot%system32scaccessservice.exe,rasprocservice.exe
Bookcode file path
%SystemRoot%system32C_28705.NLS
%SystemRoot%system32gmslogmgr.dat
Bookcode compromised C2 servers
hxxps://www.kne.co[.]kr/upload/Customer/BBS.asp
hxxp://www.k-kiosk[.]com/bbs/notice_write.asp
hxxps://www.gongim[.]com/board/ajax_Write.asp
hxxp://www.cometnet[.]biz/framework/common/common.asp
hxxps://www.locknlockmall[.]com/common/popup_left.asp
MITRE ATT&CK Mapping