APT-C-26(Lazarus)组织使用伪造VNC软件的攻击活动分析
APT-C-26 Lazarus
APT-C-26(Lazarus)是一个活跃的APT组织,该组织的主要攻击目标是金融机构和加密货币交易所,其攻击方式包括网络钓鱼、网络攻击和勒索软件攻击。它们的攻击行为具有高度的技术复杂性和隐蔽性。Lazarus组织的主要目的是获取资金,可能还涉及敏感信息窃取等活动。
近期,360高级威胁研究院捕获到APT-C-26组织利用伪造的ComcastVNC恶意软件发起攻击。我们发现的初始样本是一个压缩文件,一旦用户执行其中的恶意软件,BlindingCan恶意软件就会被释放,继而窃取用户信息。
一、攻击活动分析
1.攻击流程分析
我们最先捕获的样本是压缩文件,内部包含ISO文件,不过结合公开威胁情报,压缩文件或者ISO文件更有可能利用社会工程通过社交软件投递。ISO内部包含名为“ComcastVNC.exe”的可执行程序,实际上是白文件choice.exe,还包含名为“version.dll”和“portable.dat”文件。当用户执行“ComcastVNC.exe”后会侧加载version.dll。version.dll会读取portable.dat内容,并使用开源项目sRDI代码反射加载执行BindingCan恶意软件。
图 1 攻击流程图
2.恶意载荷分析
当执行 ISO 中的 ComcastVNC.exe 后,当前目录下的 version.dll以侧加载方式被加载。version.dll 首先会读取当前目录下的 portable.dat 文件数据作为 shellcode。然后,version.dll 会判断是否存在“Kaspersky”杀毒引擎。如果不存在,则会以新线程的方式执行 shellcode。否则,version.dll 会将 shellcode 注入到 c:\windows\system32\iexpress.exe 中。在这两种方式中,shellcode的执行都是从偏移量0x35cc开始的。
图 2 shellcode执行方式
之后version.dll会从硬编码数据中提取自定义VNC软件命名为ComcastVNC.DAT并执行。
图 3 提取自定义vnc软件并执行
该自定义VNC软件是基于修改后的 TightVNC 软件,试图伪造成Comcast公司的VNC软件,以欺骗用户。同时我们发现了该软件具有独特的PDB路径。
W:\OnTools\ComcastVNC\x64\Release\ComcastVNC.pdb
图 4 ComcastVNC信息示例
注入的shellcode载荷是公开可用的sRDI项目,以shellcode形式执行内存中的嵌入的有效载荷。嵌入的有效载荷是使用VMProtect保护的BlindingCan恶意软件。
BlindingCan恶意软件,也称为AIRDRY,是一个功能齐全的HTTP(S)后门,已在公开威胁情报中进行了详细的阐述。此次分析的BlindingCan恶意软件是一个 64 位 VMProtect保护的DLL,连接到远程C2地址是https://www.rowdensurname[.]org/slideshow/slides/show.asp。结合虚拟化代码,我们通过如下证据将该DLL识别为BlindingCan恶意软件。
2.1 RTTI工件
此次分析的DLL和已知BlindingCan恶意软件都包含相同的RTTI工件(.?AVCHTTP_Protocol@@、.?AVtype_info@@、.?AVbad_alloc@std@@、.?AVexception@std@@ 和 .?AVbad_exception@std@@)。RTTI工件是程序在运行时获取对象类型信息的一种方法,它们可以反映程序内部的类和对象结构。当两个样本包含相同的RTTI工件时,这意味着它们可能具有相似的内部结构和功能,因此这是一个强烈的关联证据。
2.2 Rich-header结构
此次分析的DLL和已知BlindingCan恶意软件的rich-header结构非常相似,除了count略有变化外,product-id和build-id完全一致。Rich-header结构包含了编译信息,当两个样本具有相似的rich-header结构时,这可能表示它们在编译过程中使用了相同的设置和工具链。
2.3 User-Agent字符串
此次分析的DLL和已知BlindingCan恶意软件使用相同的User-Agent字符串,即:Mozilla/5.0(WindowsNT6.1;WOW64)Chrome/28.0.1500.95Safari/537.36;
2.4 通信字符串模式
此次分析的DLL中包含字符串”%c=%s&%c=%s&%c=%s&%c=”,而已知BlindingCan恶意软件中包含”id=%s%s&%s=%s&%s=%s&%s=“。这表明两者在通信字符串模式上有相似性。
2.5 代码投递方式及保护方式
此次分析的DLL和以往公开威胁情报披露的BlindingCan恶意软件投递均使用了公开可用的sRDI项目,而且均使用了VMProtect进行保护。综合分析以上关联证据,此次分析的DLL和已知BlindingCan恶意软件在多个方面存在相似性,这些相似性表明二者之间可能存在很高的关联性,它们可能由同一个恶意软件作者或组织创建,因此我们以中等信心认定此次分析的DLL是BlindingCan恶意软件家族。
二、基础设施分析
此次分析的BlindingCan恶意软件连接https://www.rowdensurname[.]org/slideshow/slides/show.asp地址,该域已被攻击者入侵并控制。在对C2地址分析后,我们关联到了攻击者在服务器上使用的ASP文件。ASP文件获取客户端传递的信息,并识别出客户端的UID、CID以及NID标识等,并根据CID执行不同的功能,并以UID和NID为作为客户端标识命名保存在服务端上的客户端相关文件。
在加解密方面,客户端和服务端均使用RC4和BASE64加密方式传递通信信息。在加密方面,服务端将客户端信息转换为 Unicode 编码格式,然后使用 RC4 算法和密钥对其进行加密,最后将加密后的二进制数据进行 Base64 编码并转化为字符串格式,其中RC4密钥是“9FFF2B059A182E2CB2BE604580A911B0”,这个密钥硬编码在客户端和服务端。
图 6 服务端加解密方式示例
我们还发现了未启用的功能。例如文件上传、下载和以图片形式发送数据等功能。在文件上传功能处,如果文件上传成功会返回给客户端“S : S”信号,否则返回“S : F”信号。
图 7 文件上传下载示例
图 8 以图片形式发送数据示例
三、归属研判
2022年9月公开威胁情报披露Lazarus组织使用武器化的TightVNC恶意软件发起攻击[1],同时也披露了Lazarus组织使用开源项目sRDI反射加载BlindingCan恶意软件[2]。图 9 公开威胁情报相关披露
基于以上开源情报,我们发现Lazarus以往TTPs完全符合本次我们捕获的攻击行动中相关TTPs特征,同时我们以中等信心确认最后释放的载荷是BlindingCan恶意软件,这更进一步证明此次攻击活动是Lazarus组织发起的。
防范排查建议:
在此次攻击活动中,Lazarus组织使用基于修改后的TightVNC 软件伪造通信厂商相关VNC软件,诱导用户执行恶意软件。以下是相关排查建议。
- 组织内部应该对员工进行恶意软件的安全教育,特别是针对社会工程学攻击的相关知识。
- 安装杀毒软件和防火墙,并保持其及时更新,以防止恶意软件进入系统。
- 提供给员工一个安全的软件下载渠道,避免从非官方渠道下载软件。
- 安装访问控制和日志监控,以便能够监测和阻止恶意活动。
- 进行定期漏洞扫描和渗透测试,以检测系统中可能存在的漏洞,并及时修复。
- 建立完善的紧急响应计划,能够及时、有效地响应和处理安全事件。
- 如发现可疑活动或异常,应立即与相关安全机构联系并报告。
附录IOC
ce1792fd716579823b33ac3c085ad742
6299bac300f45a37280a3503e6fdf0e064bb5cff965553c0802e6d01c724b79cC46100C2FB9D8561480977F4E9D00009f6989d0c87f55fd9796c01a85a47896dhttps://www.rowdensurname.org/slideshow/slides/show.asp
参考链接
[1] https://www.microsoft.com/en-us/security/blog/2022/09/29/zinc-weaponizing-open-source-software/[2] https://www.mandiant.com/resources/blog/dprk-whatsapp-phishing
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
-
本文分类: 行业资讯
-
本文标签:
-
浏览次数: 19520 次浏览
-
发布日期: 2023-06-28 09:59:21