SyncHole操作：Lazarus APT返回油井

2023 伦敦 2023年10月4日至6日/英国伦敦 2022-23年拉撒路战役与后门 彼得·卡纳伊ESET，捷克共和国 peter.kalnai@eset.com www.virusbulletin.com 摘要 拉撒路小组是一个臭名昭著的、与朝鲜结盟的网络威胁行为者，自至少2009年以来一直活跃。根据工具集相似性、共享基础设施、遥测数据或“谁受益”原则，将各种活动归因于拉撒路小组，多年来我们一直在发现其中许多活动。在本文中，我们将讨论该小组在2022年和2023年的近期攻击或企图，其中一些此前未向公众公开。这些包括：针对一家西班牙航空航天公司发送高度复杂的远程访问工具的诱饵编程挑战；Coinbase主题的诱饵，Windows和macOS针对南美洲个人的有效载荷；通过伪造的以SignatureBank和MUFG为主题的招聘广告，尝试突破美国和坦桑尼亚的银行实体的安全性；在韩国一个与农业相关的实体中发现了一个基于OpenSSL的后门；一个为…设计的诱饵Linux桌面用户，提交到病毒total格鲁吉亚相关以及与最近的3CX供应链攻击，等等。 在我们的研究中，我们将概述近期Lazarus活动中与针对系统传递的有效载荷之间的关系。通常这些攻击者会链式部署许多工具：在初始阶段，使用各种投递器、加载器和简单下载器来在系统中建立稳固立足点，而在后期阶段，则涉及具备全功能的后门程序和更复杂的下载器。我们将关注这些通常更复杂且难以获取的有效载荷。我们深入分析攻击者自定义的客户端-服务器模型——解析服务器指令的方法和分步网络认证——因为理解并识别这些方面可能会增强对归因判决的信心。 最后，我们将注意到该组织近期活动的多样化地域分布，以及Lazarus操作员为覆盖所有主要平台已准备了本地有效载荷的事实：Windows,Linux和macOS. 引言 拉扎勒斯小组（也被称为隐藏眼镜蛇）是一个自2009年以来一直活跃的威胁行为者。它负责诸如知名事件索尼影业娱乐公司在2016年的数十亿美元网络抢劫，2017年的WannaCryptor（又名WannaCry）爆发，以及自至少2011年以来针对韩国公共和关键基础设施的持续破坏性攻击。Lazarus行动多样、数量众多且实施方式奇特，定义了这个团体，同时它还执行了网络犯罪活动的三个支柱：网络间谍活动、网络破坏活动和追求经济利益。 2021年，美国司法部指控朝鲜公民涉及2014至2020年间蔓延的网络赋能金融（及加密货币）犯罪[1]。朝鲜政权本身将网络战视为一把“万能剑”，保障其无休止的进攻能力[2]。 据报道，朝鲜政权卷入了非法经济活动。朝鲜人权委员会发布了一项关于该国犯罪行为的研究，包括苯丙胺类兴奋剂的交易 、高质量假币的生产和销售、濒危物种的走私以及假冒香烟的制造[3],[4]。此外，朝鲜似乎在全球范围内组织其移民工人的强制劳动[5]。 尽管自2006年以来联合国对朝鲜实施了严厉制裁，该国仍然能够获得国防市场，并参与向各种国家和非国家行为体销售本国武器、物资和服务[6]。美国国防部下属的国防情报局（DIA）于2021年发布了一份关于朝鲜国防和军事战略及战术的未分类报告[7]。该报告揭示了朝鲜核武器计划、导弹研发和测试的情况，包括公路移动短程弹道导弹（SRBM）、中程弹道导弹（MRBM）、洲际弹道导弹（ICBM）以及潜射弹道导弹（SLBM），涵盖液体推进和固体推进两种类型。 在进行归因时，我们没有识别网络攻击肇事者的智能手段，而且这也不是我们的目标。为了建立关于拉撒路活动的理论，我们的目标是将其新的网络攻击与已归因的那些进行显著相似性分类，使用恶意软件工具集、共享网络基础设施和遥测[8]等强烈指标。此外，如果我们看到它们之间存在界限，我们会尝试对各种活动子类型进行聚类。我们在“行动”部分提供了这些工作的结果。在记录了许多拉撒路攻击后，我们敢说它们的网络活动反映了朝鲜国家在现实世界中的动机，这主要是因为它们针对航空航天和国防部门，并追求金融和加密货币收益。 在[9]中，我们总结了与拉扎鲁斯小组相关的一些方面：2014-2018期间最臭名昭著的案例、主要工具集特性，以及发生在2016-2018时间范围内的六起以前未报道的、与拉扎鲁斯有关的案例。自那时以来，该小组的策略、技术和程序已发生显著变化。本文的“TTPs”部分总结了我们从攻击中提取的各种模式：将开源项目（如插件）进行木马化notepad++或PDF查看器，有效代码签名证书的使用，对生成其有效载荷的开发环境的RichHeaders分析，以及其恶意软件中存在的加密概述。 该组织的工具集一直在不断发展。在“后门”部分，我们提供了一份攻击者部署的最常见预最终有效载荷的目录。值得注意的是，他们的下载器和全功能rat使用强加密的、基于HTTP(S)的网络协议进行客户端-服务器通信。 战役 根据ESET遥测数据，Lazarus在全球范围内活跃，以至于目标公司和个人的来源地遍布世界各地；参见图1，其中青色代表有目标的国家，浅色代表地理面积较大的国家，深色代表面积较小的国家（遭受广泛供应链攻击的受害者被排除在外 ）。 图1：自2020年以来，由ESET遥测和数据提交给VirusTotal的目标遍布全球。 常规的社会工程化活动 已知存在拉撒路操作员利用未知漏洞来获取其目标网络初始访问权限的情况[10]。然而，在大多数攻击中，他们依赖通过不知情的用户和员工来入侵目标系统。这通常通过一个看似诱人但虚假的工作机会、来自加密世界的重要新闻，或一份有利可图的投资协议等令人信服的故事来实现，并以多种形式传递，例如恶意词文件、ZIP存档、光盘映像（ISO），以及虚拟硬盘（VHD）。 操作拦截 对此行动的初步报告是由发布ESET在2020年6月[11]，但它总结了自2019年9月以来发生的攻击。最初的入侵是通过诱骗目标，使用航空航天和国防领域领先组织的HR经理提供的虚假工作机会来建立的，例如柯林斯航天航空公司和通用动力，然后直接通过发送恶意文件领英通过消息传递，或通过OneDrive邮件中的链接。 日期 国家 主题 行业 C&C域 有效载荷 2022-01 土耳其 BAESystems lm-career[.]com 截取(下载)者 2022-01 意大利 洛克希德·马丁制药 markettrendingcenter[.]com (拦截)后门 2022-01 西班牙,印度,斯洛文尼亚 *洛克希德·马丁 markettrendingcenter[.]com 2022-02 乌克兰 BAESystems 防御 shopapppro[.]comtechdesignshop[.]comdesignautocad[.]cnshopwebstudio[.]com (拦截)后门 2022-03 土耳其 诺斯罗普·格鲁曼国防 topnewsagent[.]comdesignlabshop[.]comdailynewsagent[.]comfreewaremail[.]com 截取后门背后茶 2022-03 巴西* 索拉纳 webhosttech[.]org 2022-07 阿根廷，巴西 Coinbase 加密交易 concrecapital[.]cn 截取(下载)者 2022-10 越南* 加密.com 2022-12 美国 金融 cloudfly[.]orgtimecashlive[.]com 截取下载器背后茶 表1：操作In(ter)ception摘要。星号表示病毒total提交。 攻击者✁主要目标✁网络间谍活动和目标敏感数据✁窃取。当主要目标成功完成后，攻击者还试图通过商业电子邮件妥协[12]来获利网络访问权限。表1总结了观察到✁In(ter)ception行动攻击。ESET遥测和病毒total 自2022年以来✁提交。 危险密码活动 这些攻击✁名称被创造出来。威胁簿在2019年11月✁一份报告[13]中，基于一个被发送到目标计算机✁恶意LNK下载器 ，其中包含一个用于解锁一个包含相关内容✁恶意文档所需✁密码。这些攻击✁起源可以追溯到更早✁时候，如JPCERT/CC在2019年7月✁一份报告[14]所示。从那时起，许多博客和推特帖子讨论过这些活动，例如卡巴斯基，表示它们为BlueNoroff活动集群[15]。 此项活动✁典型特征✁在攻击✁初➓阶段使用各种非原生文件格式：LNK文件、VBScripts、PowerShell或JavaScript。在后期阶段，攻击者通常会部署原生有效载荷，例如WebbyTea下载器和BackbitingTeaRAT（也称为SnatchCrypto）。 由于目标大多✁来自金融领域和加密货币及区块链技术，我们得出主要目标✁盗窃金融和加密资产。参见表2，该表显示了观察到✁DangerousPassword攻击✁总结。ESET遥测和病毒total2022年以来✁提交。主题包含诱饵✁文件名或攻击者虚假宣传✁获利品牌以吸引目标。 日期 国家 主题 行业 C&C域 有效载荷 2022-02 联合王国* 新薪资调整 datacentre[.]center 2022-02 乌克兰* зарплата_2022020708129312(翻译：工资) shopapppro[.]com 2022-02 乌克兰 摩根大通 数字投资 datacentre[.]center 2022-02 波兰 薪资调整202202101019(翻译：薪酬调整) 防御 shopapppro[.]com 2022-02 法国 国际晨报GICAN第37期–2022年2月(翻译：国际手表)GICAN第37期-二月2022) 防御 shopapppro[.]com 2022-02 格鲁吉亚* 数字资产基金(DACM) doc.filesaves[.]cloud 2022-03 加拿大 金融 word.azure-company[.]网络 webbytea背后茶 2022-07 以色列 新薪资调整 区块链 www.googlesheet[.]info 2022-07 印度* 账本纳米S&X dps.shconstmarket[.]com 2022-09 拉脱维亚 区块链 docs.azurehosting[.]co 背后茶二手茶 2022-09 坦桑尼亚 MUFG 金融 验证.azure-protect[.]在线 2022-12 波兰 签名银行 金融 doc.gdocshare[.]one 背后茶 2023-02 荷兰 DocuSign–已签署版本(已锁定) 加密交易 cloud.mekongcapital[.]网络 二手茶 2023-02 阿拉伯联合阿联酋* Winforms✁PDF阅读器+司法部关于Bizlato✁报告调查 safe.doc-share[.]cloud WebbyTea 2023-05 联合国家* macOS内部PDF查看器3.0+跳跃加密投资协议 cryptyk.ddns[.]net RustBucketformacOS[16] 表2：自2022年以来危险密码攻击✁摘要。星号表示提交给VirusTotal。 梦想工作行动 这些活动✁名称在一个博客文章中被介绍。晴空在2020年8月[17]，但它们最早✁迹象可以追溯到2019年1月[18]。自那时以来，已公开报告了许多其他病例：[19]，[20]，[21]，[22]，[23]，[24]，[25]，[26]（如DeathNote）。 最常见✁特征✁使用伪装成有助于攻击者目标✁招聘流程✁木马软件，具体✁PDF查看器、远程访问工具和编程挑战。BlindingCan✁部署到受感染受害者✁旗舰级远程访问工具，但攻击者还有其他新✁复杂恶意软件项目可供选择，具体✁ScoringMathTea和LightlessCan（我们在“后门”部分会讨论这些特定✁有效载荷）。 攻击者✁目标取决于目标行业。特别✁针对航空航天领域，我们✁遥测和恶意软件功能表明，对大量敏感数据