TAG：高级可持续攻击、Lazarus、Windows、MacOS

TLP：白（报告转发及使用不受限制）

日期：2020-11

概述

Lazarus 组织是一个长期活跃的 APT 组织，因为 2014 年攻击索尼影业而开始受到广泛关注，该组织早期主要针对韩国、日本、美国等国家的政府机构进行攻击活动，以窃取情报等信息为目的。自 2014 年后，该组织开始将全球金融机构，加密交易机构等为目标，进行敛财活动。今年 7 月，我们发布了一篇《泡菜的味道：Lazarus 组织在 MacOS 平台上的攻击活动分析》揭露了 Lazarus 组织在 2019 下半年至 2020 上半年在加密货币方面的攻击活动。近期，通过对该组织的持续监控，微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本，包含 Windows 和 MacOS 平台的版本，与之前的样本有显著变化。近期攻击活动使用的攻击样本对加密货币的用户有针对性，而且更加隐蔽，不易被发现。

• Lazarus 组织在加密货币方面的攻击活动持续活跃，使用的样本在不断演化中。

• Lazarus 组织在 Windows 和 MacOS 平台上对加密货币方面的用户进行针对性的攻击，而且更加隐蔽。

• Lazarus 组织使用失陷机器作为临时 C&C 服务器来隐藏活动痕迹。

• 微步在线通过对相关样本、IP 和域名的溯源分析，共提取 29 条相关 IOC，可用于威胁情报检测。微步在线威胁感知平台（TDP）、威胁情报管理平台（TIP）、威胁情报云 API、安全 DNS（OneDNS）等均已支持对此次攻击事件和团伙的检测。

详情

Lazarus Group 是一个网络犯罪组织，至少从 2009 年以来一直活跃，据报道是 2014 年 11 月索尼影视娱乐的攻击主要主导者。 它发起了一个被称为“Operation Blockbuster”的网络攻击活动。Lazarus Group 还发起了 Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul 和 Ten Days of /Rain 网络攻击活动。Lazarus 组织是一个长期活跃的 APT 组织，因为 2014 年攻击索尼影业而开始受到广泛关注，该组织早期主要针对韩国、日本、美国等国家的政府机构进行攻击活动，以窃取情报等信息为目的。自 2014 年后，该组织开始将全球金融机构，加密交易机构等为目标，进行敛财活动。尤其是 2018 年以来，Lazarus 组织在 MacOS 平台上的攻击活动日渐活跃。该组织曾于 2018 年 8 月被曝光制作加密货币交易网站 “Celas LLC”，以推广交易软件为名推广恶意代码盗取密币，此后又不断被曝光使用相似手法搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台，用于推广 Windows 和 macOS 两种平台下带有后门的交易软件，继续对加密货币生态相关公司发起定向攻击。

微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本，包含 Windows 和 MacOS 平台的版本，与之前的样本有显著变化。近期攻击活动使用的攻击样本在运行后会检查运行环境再释放恶意代码文件，恶意代码运行后会修改配置实现自启动，之后连接 Lazarus 组织控制的失陷机器，接受攻击者的命令并进行下一阶段的攻击活动，对加密货币的用户有针对性，而且更加隐蔽，不易被发现。

本文从下列角度对 Lazarus 组织近期在加密货币方面的攻击活动进行分析：

1. 攻击过程分析

2. MacOS 平台样本详细分析

3. Windows 平台样本详细分析

4. 加密网络流量特征

5. Lazarus 在加密货币方面攻击的 TTPs（MITRE ATT&CK Framework）

1. 攻击过程分析

分析近期 Lazarus 组织在加密货币方面的攻击活动，Lazarus 组织依旧采用钓鱼的手法，首先制造虚假的加密货币交易网站，然后诱导用户下载含有恶意代码的加密货币交易客户端并安装运行。通过对客户端的分析，我们发现其在杀毒引擎的检出率很低（图1），并且使用失陷网站来作为 C&C 服务器，然后再进行下一阶段的攻击活动。相比于之前的攻击活动，近期的攻击活动更有针对性，更加隐蔽，不易被发现。

以 esilet.com（Lazarus 组织制造的虚假加密货币交易网站）为例。搜索引擎的记录（图2）的关键词 blockchain technology，Top Cryptocurrencies by Market 等均与加密货币相关。esilet.com 页面上有多种加密货币交易价格等信息（图3）。该虚假加密货币交易网站的目标是用户去下载攻击者精心制造的含有恶意代码的客户端 APP（图4）。

图 1 - 多款杀毒引擎的检出结果

图 2 - esilet.com的搜索引擎记录

图 3 - esilet.com的部分内容

图 4 - 含恶意代码的客户端下载页面

2. MacOS 平台样本分析

以样本 MD5: 53d9af8829a9c7f6f177178885901c01（MacOS 版本）为例。该样本的主程序 /MacOS/Esilet 会加载运行 /Contents/Frameworks/Esilet Helper (Renderer) 应用，释放恶意代码到 /var/folders/7d/7skpstwd7qnctfwpwp7225xw0000gn/T/Esilet-tmpg7lpp ，然后加载运行 (/bin/sh -c) 该恶意程序 Esilet-tmpg7lpp。

Esilet-tmpg7lpp 会在 /Library/LaunchDaemons/ 目录下添加配置文件，RunAtLoad 设为 true，来实现开机自启动。

Esilet-tmpg7lpp 连接到攻击者控制的失陷机器获取下一步指令，目前相关链接已无正常响应。

解密 C&C 服务器返回指令的函数。

指令执行模块。

以 sub_100002920 函数为例，该函数具备的功能是运行命令 sh -c sw_vers 来收集设备信息，然后返回给攻击者控制的失陷机器。

sub_1000036A0 函数具备的功能是执行攻击者返回的 shell 命令。

3. Windows 平台样本分析

样本 MD5: 40858748e03a544f6b562a687777397a（Windows 版本）是 Lazarus 组织在 Windows 平台使用的组件，在函数 iAppleCloud 中使用反射式注入手法在内存中加载自身。

其使用字符串以加密形式存储，使用的时候动态解密，且使用的相关 API 也以动态获取形式使用，首先创建一个挂起的系统进程 mspaint.exe。

然后将自身注入到 mspaint.exe 进程中执行。

成功注入执行后，首先将自身 dll 删除。

然后创建互斥体，确保只有一个木马实例运行。

收集主机信息，包括系统版本、系统架构、systeminfo、杀软信息、网卡信息、磁盘信息、进程列表、CPU 信息的等等并加密。

尝试循环连接 5 个URL，将收集到的主机信息以 POST 方法发送至服务器，而这 5 个链接均为 Lazarus 组织所控制的失陷机器，目前链接已无正常响应。

然后将服务器返回数据保存到指定目录下，并为其创建进程执行。

4. 加密网络流量的特征

5. MITRE ATT&CK Framework (Lazarus, TTPs)

结论

Lazarus 组织在加密货币方面的攻击虽然已被曝光多次，但是相关攻击活动依旧持续活跃。通过对该组织的持续监控，微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本，包含 Windows 和 MacOS 平台的版本，与之前的样本有显著变化，对加密货币的用户更有针对性，更加隐蔽，不易被发现。

为了保护系统免受此类威胁，用户应仅从官方和合法市场下载应用程序，不打开和安装未知来源的程序。对于此类伪装为加密货币交易平台来传播木马的攻击手法，加密货币公司及相关从业人员应该提高警惕。

附录 - IOC

Hash

SHA256

25bed4be8c78f9728ad9b6cc86a38ee95bdf8d91e2635a0cf785bc603140163c

dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156

ee72f31f961f8fb703d6613686d7ba4370dfee10e78591c506b84d087d025b77

917b4075b47f5e8004cc6915bb5481080ef77bb048a0139aefdf4990e5ef9c50

08051b859367ab3c85522dd751755ee881464afa2fd89a955c2c8aad49d1e81c

c97bce0037078a7fc7738087fd12b7052e2cdb2bfdb6e3509d0a84adea81a16e

C2

torrytrade.com

skord.me

dorusio.com

esilet.com

URL

https://admforte.com.br/wp-content/plugins/top.php

https://shahrtdc.com/wp-content/plugins/top.php

https://justholdfast.com/doodle/wp-content/plugins/top.php

https://infodigitalnew.com/wp-content/plugins/top.php

https://sche-eg.org/plugins/top.php

https://www.vinoymas.ch/wp-content/plugins/top.php

http://torrytrade.com/info.php?truefalsefalse

http://torrytrade.com/info.php?04

http://drei-schneeballen.de/wp-content/plugins/nextgen-gallery/view.php

https://qwerty.creativehonduras.com/wp-includes/class-wp-redirect.php

http://www.urbankizomba.se/wp-content/plugins/photo-gallery/filemanager/upload.php

http://tag-cloud-photo.freeware.filetransit.com/login.php

http://funny-pictures.picphotos.net/saint-louis-senior-photos-senior-pictures-seniors-st-louis-st-louis/upload.php

https://www.charcuterie-a-la-ferme.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/images/get.php?ts=5F7912FF_D899390

http://tipslonim.by/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/every.php?ts=5F7912B0_103BAC80

https://australia-express.com/wp-includes/image-list.php?ts=5F79125F_1E22F78B

关于微步情报局

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。