通過DeathNote活動發現的Lazarus組織的最新攻擊趨勢

Lazarus又名APT38，是一個知名的朝鮮語APT組織。主要負責以獲得外匯為目的的攻擊。自從2007年第一次出現后，該組織就非常活躍。早期主要是針對美國、韓國進行政治攻擊，后續攻擊目標漸漸擴大到印度、菲律賓、越南、孟加拉等亞洲及歐洲國家。2007年攻擊韓國政府網站；2014年攻擊Sony公司網站；2016年入侵Bangladeshi銀行，等等，不過真正讓Lazarus“一球成名”還是2014年的索尼影業入侵事件，至此之后，Lazarus逐漸衍變成了一個全球性的黑客組織，先后導演了入侵孟加拉國央行賬號、使用WannaCry大范圍勒索、攻擊5大數字貨幣交易所、破壞印度KNPP核電站的重大安全事件，甚至他們發布發布的一些黑客工具也隨著流行起來。

研究人員將在本文中重點介紹一個研究人員稱之為DeathNote的活動，這是因為負責下載額外有效負載的惡意軟件名為Dn.dll或Dn64.dll，該活動也被稱為“Dream Job”或”NukeSped”。在過去的幾年里，研究人員一直在密切監測DeathNote集群的活動，觀察到他們目標的轉變，以及他們工具、技術和程序的發展和改進。DeathNote是Lazarus使用的一個復雜的惡意軟件集群，在2019年出現。集群（cluster）是一種較新的技術，通過集群技術，可以在付出較低成本的示例下獲得在性能、可靠性、靈活性方面的相對較高的收益，其任務調度則是集群系統中的核心技術。

DeathNote集群演變的時間線

接下來，研究人員將從技術和戰略方面介紹該集群中發生的重大修改。

持續分析DeathNote

臭名昭著的攻擊組織Lazarus長期以來一直以加密貨幣相關的企業為目標。在分析攻擊者的活動時，研究人員注意到在一個特定的示例中，他們使用了一個經過顯著修改的惡意軟件。2019年10月中旬，研究人員發現了一份上傳到VirusTotal的可疑文件。經過進一步調查，研究人員發現這份文件的幕后黑手自2018年10月以來一直在使用類似的惡意Word文件。惡意軟件開發者使用了與加密貨幣業務相關的誘餌文件，如關于購買特定加密貨幣的問卷調查，特定加密貨幣的介紹，以及比特幣挖礦公司的介紹。

虛假文件

一旦受害者打開文檔并啟用宏，惡意的Visual Basic腳本就會提取嵌入的下載惡意軟件，并使用特定參數加載。在最初的發現中，攻擊者使用了兩種類型的第二階段有效負載。第一種是包含惡意后門的被操縱軟件，而第二種是帶有多階段二進制感染進程的典型后門。

感染進程

第二階段中使用的木馬應用程序偽裝成真正的UltraVNC查看器。如果在沒有任何命令行參數的示例下執行，它將顯示一個合法的UltraVNC查看器窗口。然而，當它使用“-s {F9BK1K0A-KQ9B-2PVH-5YKV-IY2JLT37QQCJ}”參數生成時，它會執行惡意例程。另一種感染方法執行安裝程序，它在Windows服務中創建并注冊注入程序和后門。最后，后門被注入到一個合法進程（svchost.exe）中，并啟動命令和控制（C2）操作。在這次感染中，注入合法進程的最后一個有效負載是Manuscrypt。在這一發現之前，Lazarus組織的主要目標是加密貨幣業務。

國防工業成了新的重點攻擊目標

在追蹤這場活動的同時，研究人員發現了2020年4月攻擊目標的重大轉變以及最新的感染載體。研究表明，DeathNote集群被用于針對東歐的汽車和學術部門，這兩個部門都與國防工業有關。這樣，攻擊者把所有的誘餌文件都換成了與國防承包商和外交服務相關的工作描述。

虛假文件

此外，攻擊者還改進了感染鏈，在武器化文檔中使用遠程模板注入技術，以及使用木馬化的開源PDF查看器軟件。這兩種感染方法都會產生相同的惡意軟件(DeathNote下載程序)，該惡意軟件負責上傳受害者的信息，并根據C2的判斷檢索下一階段的有效負載。最后，在內存中執行COPPERHEDGE變體。

感染鏈

值得注意的是，一個基于開源軟件的木馬化PDF閱讀器使用了一種有趣的技術來啟動其惡意例程。它首先檢索打開的PDF文件的MD5哈希，并使用檢索到的MD5值對65字節的嵌入數據執行異或操作。接下來，它驗證被異或的數據的第一個WORD值是否為0x4682，并檢查MD5哈希值是否與被異或的數據的最后16個字節匹配。如果這兩個條件都滿足，則剩余的47字節值將被用作下一階段感染的解密密鑰。

木馬化的PDF閱讀器的驗證進程

最后，這個木馬化的PDF查看器用一個誘餌PDF文件覆蓋原始打開的文件，并在實現惡意軟件有效負載時打開它來欺騙受害者。有效負載使用命令行參數執行，并且在Startup文件夾中創建一個快捷方式文件以確保持久性。這種感染機制證明了攻擊者傳遞有效負載時的謹慎和精確。

擴大目標并采用新的感染載體

2021年5月，研究人員觀察到歐洲一家提供監控網絡設備和服務器解決方案的IT公司被同一集群攻擊。據信，Lazarus組織對該公司廣泛使用的軟件或其供應鏈有興趣。

此外，2021年6月初，Lazarus組織開始針對韓國的目標使用新的感染機制。值得注意的是，惡意軟件的初始階段是由在韓國廣泛使用的合法安全軟件執行的。據悉，該惡意軟件是通過這款在韓國廣泛使用的軟件中的漏洞傳播的。

感染鏈

與之前的示例類似，最初的感染載體創建了下載惡意軟件。一旦連接到C2服務器，下載程序就會根據操作員的命令檢索額外的有效負載，并在內存中執行。在此期間，BLINDINGCAN惡意軟件被用作內存駐留后門。雖然BLINDINGCAN惡意軟件有足夠的能力控制受害者，但攻擊者可以手動植入額外的惡意軟件，該組織可能旨在創造一種額外方法來控制受害者。檢索到的加載程序的導出函數（CMS_ContentInfo）是使用命令行參數啟動的，這對于解密嵌入的下一階段有效負載和配置至關重要。只有當參數的長度為38時，此進程才會繼續。最后，在受害者身上執行該集群以前使用的COPPERHEDGE惡意軟件。

大約一年后的2022年3月，研究人員發現同一個安全程序被利用，攻擊者向韓國的幾名受害者傳播類似的下載惡意軟件。不過傳播的有效負載是不同的。C2操作員手動植入了一個后門兩次，雖然無法獲得最初植入的后門，但研究人員認為它與下一階段的后門相同。新植入的后門能夠通過命名管道通信執行檢索的有效負載。此外，攻擊者利用側加載來執行Mimikatz，并使用竊取惡意軟件來收集用戶的擊鍵和剪貼板數據。

感染鏈

大約在同一時間，研究人員發現了拉丁美洲的一家國防承包商也被同樣的后門攻破的證據。最初的感染載體與研究人員在其他國防工業目標中看到的類似，涉及使用帶有精心制作的PDF文件的木馬化PDF閱讀器。然而，在該示例中，攻擊者采用了一種側加載技術來執行最終的有效負載。當惡意PDF文件被木馬化的PDF閱讀器打開時，受害者會看到上面提到的相同的惡意軟件，它負責收集和報告受害者的信息，檢索命令并使用管道通信機制執行它們。行動者使用此惡意軟件植入額外的有效負載，包括用于側加載目的的合法文件。

合法文件：%APPDATA%\USOShared\CameraSettingsUIHost.exe；

惡意文件：%APPDATA%\USOShared\dui70.dll；

配置文件：%APPDATA%\USOShared\4800-84dc-063a6a41c5c；

命令行：%APPDATA%\USOShared\CameraSettingsUIHost.exe uTYNkfKxHiZrx3KJ；

對一家國防承包商的持續攻擊

2022年7月，研究人員觀察到Lazarus組織成功攻擊了非洲的一家國防承包商。最初的感染是通過Skype即時通訊軟件發送的一個可疑的PDF應用程序。執行PDF閱讀器后，它在同一目錄中創建了一個合法文件（CameraSettingsUIHost.exe）和惡意文件（DUI70.dll）。這種攻擊嚴重依賴于研究人員在前一個案例中觀察到的相同的DLL側加載技術。最初由PDF閱讀器植入和執行的有效負載負責收集和報告受害者的信息，以及從名為LPEClient的遠程服務器檢索額外的有效負載。Lazarus組織在各種活動中多次使用這種惡意軟件。他們還利用同樣的DLL側加載技術植入額外的惡意軟件，能夠通過后門操作。為了在系統之間橫向移動，攻擊者使用了一種名為ServiceMove的有趣技術。此技術利用Windows Perception Simulation Service加載任意DLL文件。根據開發者的解釋：“每次啟動Windows Perception Simulation Service時，都會加載一個不存在的DLL文件”。通過在C:\Windows\System32\PerceptionSimulation\目錄下創建任意DLL并遠程啟動服務，攻擊者能夠在遠程系統上以NT AUTHORITY\SYSTEM的身份實現代碼執行。攻擊者在PerceptionSimulation文件夾中創建了一個devobj.dll文件，并遠程執行PerceptionSimulation服務。在啟動devobj.dll文件時，它從同一文件夾解密了加密的后門文件PercepXml.dat，并在內存中執行它。

感染鏈

Post-exploitation

在調查中，研究人員對Lazarus組織的Post-exploitation戰略有了一個深入的了解。在初始感染后，攻擊者執行了許多Windows命令來收集基本的系統信息，并試圖找到有攻擊價值的計算機，如Active Directory服務器。在橫向移動之前，Lazarus組織使用眾所周知的方法獲得了Windows憑據，并使用了ServiceMove等公共技術。當該組織完成任務并開始竊取數據時，他們主要使用WinRAR實用程序壓縮文件并通過C2通信通道傳輸它們。

總結

在追蹤了DeathNote集群及其起源后，研究人員已經確定Lazarus組織就是其幕后組織。此外，研究人員分析了通過DeathNote惡意軟件向受害者發送Windows命令的示例，發現在格林尼治標準時間00:00至07:00之間執行了大量命令。根據研究人員對正常工作時間的了解，研究人員可以推斷攻擊者位于GMT+08或GMT+09時區。

Windows命令的時間點變化

此外，該攻擊者還在C2腳本中留下了韓語評論“????”，翻譯過來是“正常調用”。這進一步支持了“Lazarus是朝鮮語地區”的假設。

C2腳本中的朝鮮語注釋

總之，Lazarus組織是一個臭名昭著、技術高超的攻擊組織。研究人員對DeathNote集群的分析揭示了多年來其戰術、技術和程序的快速演變。