臭名昭著的Lazarus等黑客组织窃取COVID-19疫苗敏感信息,加速国产疫苗研发。网络安全公司卡巴斯基详细描述了去年9月和10月发生在一家制药公司和一家政府机构的两起事件,它们使用了不同的工具和技术,但在利用后显示出相似之处,这导致研究人员将这两次攻击与黑客联系起来朝鲜政府。这两起事件表明,拉撒路集团对新冠相关情报非常感兴趣。虽然该集团以其金融活动而闻名,但该事件也提醒研究人员注意该集团的其他战略用途。卡巴斯基并未透露具体目标,但具体攻击时间分别为2020年9月25日和2020年10月27日。值得注意的是,参与研发COVID-19疫苗的制药公司,Lazarus集团部署了“BookCodes”恶意软件,最近被用于在针对韩国软件公司WIZVERA的供应链攻击中的目标系统上安装远程管理工具(RAT)。攻击中使用的初始访问向量仍然未知,但据称研究人员确定了一个恶意软件加载程序来加载加密的BookCodeRAT,它具有收集系统信息、接收远程命令并将执行结果传输到命令和控制(C2)的能力服务器。在针对卫生部的另一次攻击中,黑客破坏了两台Windows服务器,安装了一种名为“wAgent”的恶意软件,然后使用它从攻击者控制的服务器中获取其他恶意负载。研究人员表示,他们无法找到攻击中使用的启动模块,但怀疑它在运行带有特定参数的恶意软件时扮演了“微不足道的角色”,之后wAgent将包含后门功能的WindowsDLL直接加载到内存中。通过这个内存后门,恶意软件操作者执行大量shell命令来收集受害者信息。卡巴斯基表示,无论此次攻击使用的是哪两个恶意程序模块,10月份使用的wAgent恶意软件由于恶意软件命名方案,与此前Lazarus组织攻击加密货币业务时使用的恶意软件具有相同的感染过程。调试消息和使用安全支持提供程序作为持久性机制存在重叠。这是利用冠状病毒大流行进行的一系列攻击中的最新一起,朝鲜黑客的目标是印度、法国、加拿大和英国阿斯利康的制药公司。随着新冠疫情愈演愈烈,黑客正千方百计加快研制疫苗。有证据表明,拉撒路集团等团体正在利用攻击来获取与新冠疫苗相关的信息。疫苗情报窃取过程最近两次Lazarus攻击之间的关系两者都利用了没有太多重叠的不同恶意软件模块。wAgentMalwareModule恶意软件模块具有复杂的感染方案:InfectionschemeofthewAgentMalwareModule遗憾的是,研究人员无法获得此次攻击中使用的启动模块。该模块似乎做了一些微不足道的事情:使用特定参数执行wAgent。研究人员收集的一个wAgent样本具有伪造的元数据,使其看起来像一个合法的压缩实用程序XZUtils。恶意软件通过调用thumb导出函数参数直接从受害设备的命令行shell执行:c:\windows\system32\rundll32.exeC:\Programdata\Oracle\javac.dat,Thumbs8IZ-VU7-109-S2MY16字节的字符串参数用作AES密钥来解密嵌入的有效负载–WindowsDLL。当嵌入的有效负载加载到内存中时,它将使用给定的解密密钥解密配置信息。这个配置包含各种信息,包括C2服务器地址和后面要用到的文件路径。尽管该配置指定了两个C2服务器,但它包含了两次相同的C2服务器。有趣的是,该配置有几个用“@”符号分隔的URL路径。恶意软件尝试随机连接到每个URL路径。配置中的C2地址当恶意软件第一次执行时,它会生成一个标识符,使用随机值的哈希来区分每个受害者。它还会生成一个16字节的随机值并反转其顺序。接下来,恶意软件使用“@”作为分隔符将这个随机的16字节值与散列连接起来。即:82UKx3vnjQ791PL2@29312663988969Post参数名称(如下所示)在运行时解密,并在每个C2连接上随机选择。研究人员之前已经看到并向研究人员的威胁情报报告客户报告了一种非常相似的技术,当时Lazarus组织使用不断发展的下载恶意软件攻击加密货币企业。值得注意的是,Tistory是韩国的博客发布服务,这意味着恶意软件作者熟悉韩国的互联网环境。恶意软件将生成的标识符编码为base64,并将其发布到C2。最后,代理从C2服务器获取下一个有效负载并将其直接加载到内存中。遗憾的是,研究人员无法获得其副本,但根据分析,获得的payload是一个包含后门功能的WindowsDLL。使用这个内存后门,恶意软件操作员执行许多shell命令来收集受害者信息:cmd.exe/cping-n1-a192.[redacted]cmd.exe/cping-n1-a192.[redacted]cmd.exe/cdir\\192.[redacted]\c$cmd.exe/cqueryusercmd.exe/cnetuser[redacted]/domaincmd.exe/cwhoamiwAgent后门使用攻击者使用wAgent后门安装一个额外的wAgent负载,并具有持久性机制。提取此DLL后,使用以下命令行参数执行名为SagePlug的导出:rundll32.exec:\programdata\oracle\javac.io,SagePlug4GO-R19-0TQ-HL2Ac:\programdata\oracle\~TMP739.TMP4GO-R19-0TQ-HL2A作为入口,文件路径表示调试信息的保存位置。此wAgent安装程序的工作方式与上述wAgent加载程序恶意软件类似。它负责在加载之前使用命令行上的16字节密钥解密嵌入的有效载荷。在解密后的payload中,恶意软件生成了继续感染的文件路径:C:\Windows\system32\[random2characters]svc.drv该文件伪装成一个名为SageThumbsShellExtension的合法工具,直接在Windows资源管理器中显示浏览器中的图像文件。但是,它内部包含一个额外的恶意例程。创建此文件时,安装程??序模块将用随机数据填充它以增加其大小。该恶意软件还将cmd.exe创建时间复制到一个新文件中,以使其不易被发现。出于日志记录和调试目的,恶意软件将信息存储在作为第二个参数提供的文件中(在本例中为c:\programdata\oracle\~TMP739.TMP)。该日志文件包含时间戳和有关感染过程的信息,研究人员注意到恶意软件操作员正在使用Windows命令手动检查该文件。这些调试消息的结构与之前用于攻击涉及Lazarus组织的加密货币业务的恶意软件相同。之后,恶意软件会解密其嵌入式配置。此配置数据与上述wAgent恶意软件具有相似的结构。它还包含具有相同格式的C2地址:hxxps://iski.silogica[.]net/events/serial.jsp@WFRForms.jsp@import.jsp@view.jsp@cookie.jsphxxp://sistema.celllab[.]com.br/webrun/Navbar/auth.jsp@cache.jsp@legacy.jsp@chooseIcon.jsp@customZoom.jsphxxp://www.bytecortex.com[.]br/eletronicos/digital.jsp@exit.jsp@helpform.jsp@masks.jsp@Functions.jsphxxps://sac.najatelecom.com[.]br/sac/Dados/ntlm.jsp@loading.jsp@access.jsp@local.jsp@default.jsp的恶意软件加密配置数据并将其存储为预定义注册表项及其文件名:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Emulate–[random2characters]svc将创建的文件路径注册到现有注册表值的末尾,它还利用自定义安全支持提供程序。由于这个注册表项,这个DLL将在下次启动时由lsass.exe加载。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa–SecurityPackages:kerberosmsv1_0schannelwdigesttspkgpku2u[random2characters]svc.drv最后,launcher模块在远程进程中启动[random2characters]svc.drv文件。它搜索第一个svchost.exe进程并执行DLL注入。注入的[随机2个字符]svc.drv恶意软件包含用于解密和加载其嵌入式有效负载的恶意例程。最后的有效载荷是wAgent,它负责从C2(可能是一个功能齐全的后门)获取额外的有效载荷并将它们加载到内存中。Bookcode恶意软件模块Lazarus集团的Bookcode恶意软件针对的制药公司正在开发COVID-19疫苗,并获得生产和销售这些COVID-19疫苗的许可。研究人员之前曾看到Lazarus使用Bookcode恶意软件攻击韩国的一家软件公司,目标可能是该公司的源代码或供应链。研究人员还目睹了Lazarus组织在过去进行鱼叉式网络钓鱼或战略网站攻击以传播Bookcode恶意软件。然而,研究人员无法确定该事件的确切初始感染媒介。整个感染过程与ESET关于该主题的最新报告中描述的过程非常相似。Bookcode感染过程尽管研究人员没有找到负责部署加载程序及其加密Bookcode负载的恶意软件,但研究人员能够识别加载程序样本。该文件负责加载位于系统文件夹中名为gmslogmgr.dat的加密负载。解密payload后,loader找到带有winmgmt、ProfSvc或Appinfo参数的服务宿主进程(svchost.exe),将payload注入其中。不幸的是,研究人员无法获得加密的有效负载文件,但研究人员能够在受害设备上重建恶意软件操作,并将其识别为研究人员向威胁情报报告客户报告的Bookcode恶意软件。在执行时,Bookcode恶意软件会读取配置文件。虽然之前的Bookcode示例使用文件perf91nc.inf作为配置文件,但此版本从名为C_28705.NLS的文件中读取其配置。此Bookcode样本与韩国互联网安全局(KISA)最近一份综合报告中描述的恶意软件具有几乎相同的功能。如报告第57页所述,一旦恶意软件启动,它就会将有关受害者的信息发送到受害者的基础设施。在与C2服务器通信后,恶意软件会提供标准的后门功能。使用Bookcode模块的Lazarus组织的后利用(Post-exploitation)活动有其独特的TTP,本次攻击示例中使用了相同的操作方法。1.从注册表sam转储中提取受感染的主机信息,包括密码哈希值。2.使用Windows命令检查网络连接。3.使用WakeMeOnLan工具扫描同一网络上的主机。在2020年9月25日安装Bookcode后,恶意软件运营商开始收集受害者的系统和网络信息。恶意软件操作员还收集了包含密码哈希值的注册表sam转储:exe/c"reg.exesavehklm\sam%temp%\~reg_sam.save>"%temp%\BD54EA8118AF46.TMP~"2>&1″exe/c”reg.exesavehklm\system%temp%\~reg_system.save>”%temp%\405A758FA9C3DD.TMP~”2>&1″在横向移动阶段,恶意软件操作者使用众所周知的方法,在获取帐户信息后,连接使用“net”命令到另一台主机,并使用“wmic”命令执行复制的有效负载。exe/c"netstat-aon|find"ESTA">%temp%\~431F.tmpexe/c"netuse\\172.[redacted]"[redacted]"/u:[redacted]>%temp%\~D94.tmp"2>&1"wmic/node:172.[redacted]/user:[redacted]/password:[redacted]"processcallcreate"%temp%\engtask.exe">%temp%\~9DC9.tmp"2>&1″此外,Lazarus使用ADfind从ActiveDirectory收集额外信息。攻击者使用此实用程序提取受害者的用户和计算机列表。由于Bookcode基础设施与受害者密切合作以帮助纠正此攻击,研究人员发现另一个配置文件。它包含四个C2服务器,所有这些服务器都是位于韩国的受感染Web服务器。hxxps://www.kne.co[.]kr/upload/Customer/BBS.asphxxp://www.k-kiosk[.]com/bbs/notice_write.asphxxps://www.gongim[.]com/board/ajax_Write.asphxxp://www.cometnet[.]biz/framework/common/common.aspC2服务器之一启用了目录列表,因此研究人员能够了解攻击者如何管理C2服务器:在受感染的网站上列出了攻击者文件研究人员从受感染的服务器(“第一阶段”C2服务器)中发现了几个日志文件和一个脚本。它从后门接收连接,但仅充当操作员实际存储订单的“第二阶段”服务器的代理。Customer_Session.asp是第一阶段C2脚本,负责从第二阶段C2服务器传递命令并从植入程序执行它们。为了向每个受害者传递适当的命令,植入程序的bbs_code参数被用作标识符。该脚本使用此标识符将命令分配给正确的受害者,以下是为特定受害者发送命令的过程:1.恶意软件操作员为特定植入物([id]_208)设置相应的标志,以及将命令保存到变量([id]_210)。2.植入程序检查相应的标志([id]_208),如果设置了变量([id]_210),则从变量([id]_210)中检索命令。3.执行命令后,植入程序将结果发送给C2服务器,并设置相应的flag。4.恶意软件操作员检查标志并在设置标志时检索结果。C2脚本的逻辑C2脚本除了植入控制功能外,还有其他功能,比如更新下一级C2服务器地址,将植入的标识发送给下一级服务器,或者删除日志文件.综合来看,可以确定此次袭击的幕后黑手就是拉撒路组织。本文翻译自:https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/如有转载请注明出处。
