网络犯罪组织Lazarus复出:目标瞄准全球银行和比特币用户

 

一、前言

目前,McAfee高级威胁研究(ATR)分析师发现国际网络犯罪组织Lazarus正在进行网络钓鱼攻击活动,该活动以比特币为目标,使用了具有长期影响力的复杂恶意软件。
这个称为HaoBao的新变种,依然延续Lazarus以前的钓鱼电子邮件传播方式,伪装成招聘信息诱使用户下载点击,但目前的目标已经变为针对比特币用户和全球金融组织。当受害者打开电子邮件附件中的恶意文件,恶意软件会扫描电脑中的比特币相关活动,并创建相关文件用于长期的数据收集。
由于HaoBao在感染主机上创建的文件是此前从未见过的,因此McAfee ATR认为Lazarus已经对他们的恶意软件进行了改动与提升,他们正在使用更复杂的技术来实现加密货币网络犯罪活动。

 

二、背景

从2017年开始,Lazarus组织就大量发送带有恶意文件的钓鱼邮件,冒充招聘者诱使用户下载并执行附件。该活动自2017年4月持续到10月,他们还使用英语和韩语来书写职位描述。根据分析,其目的在于获取目标环境的访问权限,获得关键的军事计划详情,并窃取资金。在2017年,该组织将目标瞄准了国防承包商和金融机构,包括加密货币兑换机构。然而,在几个月后Lazarus似乎就停止了攻击活动,最近的一次活动是在2017年10月22日。

 

三、整体分析

2018年1月15日,McAfee ATR捕获了一个恶意文件,该恶意文件伪装成一家香港大型跨国银行的业务发展主管发布的招聘信息,通过Dropbox账户在以下地址分发:
hxxps://www.dropbox.com/s/qje0yrz03au66d0/JobDescription.doc?dl=1
由此看来,这是一个新的攻击活动,尽管它利用了2017年已有的技术、策略和程序,但其目标人群已经与此前不再相同。该文档的最后一位作者是”Windows User”,并于2018年1月16日创建了韩语版本的文档。在2018年1月16日至1月24日期间,同一位文档创建者还生成了其他的恶意文件。


在文档中,会首先显示一个 “该文档是在早期版本的Microsoft Word创建”的通知,该通知是由攻击者根据Word界面而伪造的,目的在于诱导目标用户点击”启用内容”。在启用后,恶意文档通过Visual Basic宏,在目标用户系统上进行植入。


创建于2018年1月24日的文档(SHA1为7e70793c1ca82006775a0cac2bd75cc9ada37d7c)会投放并执行名称为lsm.exe(SHA1:535f212b320df049ae8b8ebe0a4f93e3bd25ed79)的可执行文件。该可执行文件会与210.122.7.129进行通信,同时还会对worker.co.kr.Implants投放的文件进行解析。
而创建于2018年1月19日的另一个恶意文档(SHA1为a79488b114f57bd3d8a7fa29e7647e2281ce21f6)会投放SHA1为afb2595ce1ecf0fdb9631752e32f0e32be3d51bb的可执行文件,该可执行文件与lsm.exe有99%的相似性。
文档分发自以下Dropbox地址:
hxxps://dl.dropboxusercontent.com/content_link/AKqqkZsJRuxz5VkEgcguqNE7Th3iscMsSYvivwzAYuTZQWDBLsbUb7yBdbW2lHos/file?dl=1
hxxps://www.dropbox.com/s/q7w33sbdil0i1w5/job description.doc?dl=1

在2018年1月15日编译的可执行文件csrss.exe会与解析到deltaemis.com域名的IP地址70.42.52.80进行通信。我们发现,此域名曾经用于托管以前针对Sikorsky计划的恶意文件。
hxxp://deltaemis.com/CRCForm/3E_Company/Sikorsky/E4174/JobDescription.doc
在2018年1月19日创建的第三个恶意文档(SHA1为dc06b737ce6ada23b4d179d81dc7d910a7dbfdde)会投放2018年1月15日编译的可执行文件(e8faa68daf62fbe2e10b3bac775cce5a3bb2999e)。该可执行文件会与韩国IP地址221.164.168.185进行通信,该IP解析为palgong-cc.co.kr。
McAfee ATR分析发现,从2017年起,Lazarus在攻击活动中从未使用过投放文件的方式。此外,该攻击活动首先在被感染主机上投放一个数据收集程序,该程序还会再进行一次下载,以获得持久性。在该可执行文件中,包含一个硬编码的关键词”HaoBao”,作为Visual Basic宏执行时的开关。

 

四、恶意文档分析

该恶意文档共包含两个Payload,二者都是嵌入Visual Basic宏代码中的加密字符串数组。Payload以加密字符串数组的形式存在,会在内存中进行解密,写入磁盘并按顺序启动(第二阶段的恶意二进制文件首先启动,随后是诱饵文档)。
VBA宏代码是自动执行的,并且配置为在OLE文档(微软Word文档)打开时,通过”Sub AutoOpen()”执行。在VBA宏中的AutoOpen()函数按照顺序执行以下任务:
1.解码第二阶段二进制Payload的目标文件路径。该文件路径基于当前用户Temp 文件夹位置计算得出:

<temp_dir_path>.lsm.exe

2.解码内存中第二阶段二进制文件,并将其写入到%temp%.lsm.exe位置。


3.在将第二阶段Payload写入磁盘之后,VBA代码将执行两个重要操作,会使用cmd.exe运行第二阶段Payload。这样是为了使cmd.exe进程在Payload运行后立即存在,从而让进程分析工具无法发现其父进程,增强其隐蔽性。
用于执行第二阶段二进制文件的命令如下:
cmd.exe /c start /b <temp_dir_path>.lsm.exe /haobao
4.使用正确的命令行参数,在系统的Startup(启动)文件夹中创建快捷方式,从而确保恶意软件拥有持久性。
快捷方式的命令行为:<temp_dir_path>.lsm.exe /haobao,快捷方式文件名为:GoogleUpdate.lnk。


5.一旦第二阶段Payload启动,VBA宏就会向用户显示一个诱导文档。该诱导文档也作为一个加密的字符串数组存储在VBA宏中,类似于第二阶段的Payload。诱导文档会写入到用户的临时目录下,其文件名和路径如下:

<temp_dir_path>.Job Description.doc

6.将诱导文档写入磁盘后,VBA宏会将其文件属性设置为”系统”+”隐藏”。
7.然后,由恶意VBA宏打开诱导文档,并诱饵文档的文件名修改为原始恶意文档的文件名,让受感染用户误以为打开的就是原始(恶意)文档。
由于诱导文档本身不具有风险,并且不包含任何宏,所以被感染用户不会对此有所怀疑。

 

五、植入文件分析

在植入后,首先进行初始化,会执行以下操作:
1.校验通过命令行传递给它的字符串是否正确:
“/haobao”为 535f212b320df049ae8b8ebe0a4f93e3bd25ed79
“/pumpingcore”为e8faa68daf62fbe2e10b3bac775cce5a3bb2999e
如果恶意软件在其命令行参数中找不到该字符串,则会立即退出,不再进行任何操作。
2.将DLL加载到内存中,并借助反射DLL注入对其进行调用,将其一次性导入。
在研究过程中,我们还发现了DLL文件的其他变体。

3.作为反射DLL加载的一部分,恶意软件会在已经加载到内存中的DLL上执行以下任务:
(1) 将已经加载的DLL复制到其自身的内存空间的新位置;
(2) 部署DLL所需的导入文件(基于DLL的IAT)。

4.使用DLL_PROCESS_ATTACH调用新加载的DLL映像入口点(DllMain),以便在恶意软件进程中能成功加载DLL。

5.在名为”CoreDn”的DLL中,调用恶意软件的实际导出。

除非特别指出,否则下面描述的所有恶意活动均是由DLL执行。

 

六、数据侦查

该恶意软件具有从被感染系统中收集数据的能力,以下信息将会被收集,并发送到命令与控制(C&C)服务器。

计算机名称、当前登陆用户名称,格式为:<ComputerName> <Username>。

  1. 系统当前运行的全部进程,格式为:
    <Process Name>rn
    <Process Name>rn
    <Process Name>rn
    <Process Name>rn
  2. 系统上特定的注册表项:
    HKEY_CURRENT_USERSoftwareBitcoinBitcoin-Qt

恶意软件还会附加一个标志,用于指示在用户注册表中是否找到了上述表项:

该密钥将再次作为C&C通信的一部分进行检查,并以HTTP POST请求的方式发送到C&C服务器。

七、数据窃取

7.1 准备工作

为了过滤从被感染终端收集到的信息,恶意软件执行以下活动:
1.使用字节0x34对收集到的信息进行异或操作编码。
2.用标准的Base64对异或后的数据再进行编码。
3.再次检查注册表项HKCUSoftwareBitcoinBitcoin-Qt是否存在。

7.2 C&C服务器通信

一旦恶意软件完成上述工作,就会向C&C服务器发送HTTP POST请求:
www[dot]worker.co.kr(MD5为BDAEDB14723C6C8A4688CC8FC1CFE668)
www[dot]palgong-cc.co.kr(MD5为D4C93B85FFE88DDD552860B148831026)
发送到www[dot]worker.co.kr的POST请求格式如下:/board2004/Upload/files/main.asp?idx=%d&no=%s&mode=%s。
发送到www[dot]palgong-cc.co.kr的POST请求格式如下:/html/course/course05.asp?idx=%d&no=%s&mode=%s。
其中,如果注册表项不存在,则idx = 20 (14h);如果注册表项存在,那么idx = 24 (18h)。
no = 异或+Base64编码后的”<Computername> <username>“
mode = 异或+Base64编码后的进程列表+注册表项标志

7.3 持久性

恶意软件的持久性机制只针对于下载的植入文件。最初,在被感染用户加载恶意文档时,会通过Visual Basic宏代码来为植入文件建立持久性。
只有当恶意软件成功执行下载的植入文件后,才会进行持久性保护。恶意软件首先尝试更新HKEY_LOCAL_MACHINE注册表项。
如果更新不成功,它还会尝试更新HKEY_CURRENT_USER注册表项。将写入如下内容:
注册表位置 = SoftwareMicrosoftWindowsCurrentVersionRun
值名称 = AdobeFlash
值内容 = “C:DOCUME~1<username>LOCALS~1TempOneDrive.exe” kLZXlyJelgqUpKzP

八、与2017年活动的联系

本次捕获到的恶意样本,与2017年针对美国国防承包商、美国能源部门、金融机构和加密货币交易所进行攻击的恶意样本非常相似。
2017年涉及到加密货币的两个恶意文档,其作者均为”Windows User”。此外,此前一个涉及到Sikorsky军事计划的恶意可执行文件托管IP与本次样本中的一个托管IP一致。
McAfee ATR有理由相信,Lazarus是此次攻击的幕后黑手,原因如下:
1.此次用于托管恶意文档的IP地址和域名与2017年Lazarus发起攻击时所使用的IP和域名相同。
2.恶意文档的作者名称一致。
3.在此前Lazarus进行的攻击活动中,也使用过与本次相同的恶意文档结构和类似的招聘广告。
4.所使用的技术、策略和程序与此前一致,并且情报表明Lazarus始终对加密货币盗窃拥有较大的兴趣。

九、结论

根据McAfee ATR的研究,我们发现Lazarus组织正在将目标对准加密货币和金融机构。此外,我们发现在攻击过程中,数据收集模块的使用频率有所增加,其目的是快速确定潜在的攻击对象。此攻击活动旨在通过扫描系统中特定位置,来找到运行比特币相关软件的用户。

十、病毒样本

10.1 MITRE ATT&CK技术信息

数据编码
数据加密
命令行界面
账户搜寻
进程搜寻
注册表查询
隐藏的文件和目录
自定义加密协议
注册表运行密钥/启动文件夹
启动项目
常用端口
C&C通道过滤

10.2 相关IP

210.122.7.129
70.42.52.80
221.164.168.185

10.3 相关URL

hxxps://dl.dropboxusercontent.com/content_link/AKqkZsJRuxz5VkEgcguqNE7Th3iscMsSYvivwzAYuTZQWDBLsbUb7yBdbW2lHos/file?dl=1
hxxps://www.dropbox.com/s/q7w33sbdil0i1w5/job description.doc?dl=1

10.4 Hash值

dc06b737ce6ada23b4d179d81dc7d910a7dbfdde
a79488b114f57bd3d8a7fa29e7647e2281ce21f6
7e70793c1ca82006775a0cac2bd75cc9ada37d7c
535f212b320df049ae8b8ebe0a4f93e3bd25ed79
1dd8eba55b16b90f7e8055edca6f4957efb3e1cd
afb2595ce1ecf0fdb9631752e32f0e32be3d51bb
e8faa68daf62fbe2e10b3bac775cce5a3bb2999e

(完)