起底國家級APT組織：Lazarus Group

國家級APT（Advanced Persistent Threat，高級持續性威脅）組織是有國家背景支持的頂尖黑客團伙，專注于針對特定目標進行長期的持續性網絡攻擊。

奇安信旗下的高級威脅研究團隊紅雨滴（RedDrip Team）每年會發布全球APT年報^【1】、中報，對當年各大APT團伙的活動進行分析總結。

虎符智庫特約奇安信集團旗下紅雨滴團隊，開設“起底國家級APT組織”欄目，逐個起底全球各地區活躍的主要APT組織。

背景 

Lazarus Group又名HIDDEN COBRA（美國情報界命名） 、Zinc、APT-C-26、Guardians of Peace等稱號，是東亞地區某國最活躍的APT組織之一，得到該國情報部門的大力支持。

自2009年以來，被歸因于該組織的攻擊事件數量迅速增長。特別在2017年后，Lazarus Group加大了攻擊行動力度，組織了多起影響重大的攻擊事件，例如對波蘭和墨西哥銀行的攻擊、WannaCry病毒爆發以及針對美國承包商的魚叉式網絡釣魚行動等。

Lazarus攻擊目的主要以竊取資金為主，針對銀行、比特幣交易所等金融機構及個人實施定向攻擊，堪稱全球金融機構的最大威脅。其次，Lazarus還針對航空航天、工程、技術、政府、媒體、等機構及企業進行滲透，達到竊取重要資料及破壞勒索的目的。

攻擊特點手段、工具 

Lazarus早期多利用僵尸網絡對目標進行DDos攻擊；中后期主要攻擊手段轉為魚叉攻擊、水坑攻擊、供應鏈攻擊等手法，還針對不同人員采取定向社會工程學攻擊。

Lazarus組織的攻擊主要有以下特點：

• 攻擊周期普遍較長，通常進行較長時間潛伏，并換不同方法誘使目標被入侵。
• 投遞的誘餌文件具有極強的迷惑性和誘惑性，導致目標無法甄別。
• 攻擊過程會利用系統破壞或勒索應用干擾事件的分析。
• 利用SMB協議漏洞或相關蠕蟲工具實現橫向移動和載荷投放。
• 每次攻擊使用工具集的源代碼都會修改，并且網安公司披露后也會及時修改源代碼。

（一）攻擊手段

1. 魚叉攻擊

通常以郵件夾帶惡意文檔作為誘餌，常見文件格式為DOCX，后期增加了BMP格式。入侵方式主要利用惡意宏與Office常見漏洞、0day漏洞、植入RAT的手法。

2. 水坑攻擊

Lazarus通常針對貧窮的或欠發達地區的小規模銀行金融機構使用水坑攻擊，這樣就可以在短時間內大范圍盜取資金。

2017年，Lazarus對波蘭金融監管機構發動水坑攻擊，在網站官方網站植入惡意的JavaScript漏洞，導致波蘭多家銀行被植入惡意程式。此次攻擊感染了 31 個國家的 104 個組織，大多數目標是位于波蘭、智利、美國、墨西哥和巴西的金融機構。

3. 社工攻擊

Lazarus擅長將社工技術運用到攻擊周期中，無論是投遞的誘餌還是身份偽裝，都令受害者無法甄別，從而掉入它的陷阱中。

2020年期間，Lazarus在領英網站偽裝招聘加密貨幣工作人員并發送惡意文檔，旨在獲取憑證從而盜取目標加密貨幣。

2021年，Lazarus Gourp以網絡安全人員身份潛伏在Twitter中，伺機發送嵌有惡意代碼的工程文件攻擊同行人員。從這些案例可以看出，Lazarus針對的目標越來越明確，使用手法也越來越靈活直接。

（二）攻擊使用工具及技術特征

Lazarus使用的網絡武器中包含大量定制工具，并且使用代碼有很多相似之處。肯定地說，這些軟件來自相同的開發人員，可以說明Lazarus背后有穩定的大型開發團隊。

Lazarus擁有的攻擊能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware，使用的惡意代碼包括Destover、Duuzer和 Hangman等。

通過分析攻擊案例可以看出Lazarus攻擊的技術特征：

1. 擅長使用多種加密算法，包括RC4，AES， Spritz等標準算法，也使用XOR及自定義字符變換算法。

2. 主要使用虛假構造的TLS協議，通過在SNI record中寫入白域名來Bypass IDS，也使用IRC、HTTP協議。

3. 通過破壞MBR、分區表或者向扇區寫入垃圾數據從而破壞系統。

4. 其工具包許多組件都包括自刪除腳本

5. TCP后門支持數十個命令

知名攻擊事件

（一）特洛伊和黑暗首爾行動

2009年至2012年，Lazarus Group針對韓國武裝部隊和政府展開長期網絡間諜行動，此活動后被命名為“特洛伊行動”^【2】。2013年，Lazarus Group對韓國金融行業開展第二次攻擊，后被稱為“黑暗首爾行動”^【3】。這兩次活動的披露使得Lazarus Group首次成為公眾關注的焦點。這些活動使用的惡意軟類似于 Win32/Spy.Keydoor 或者Win64/Spy.Keydoor.。

（二）索尼公司攻擊事件

2014，索尼影視娛樂公司宣布上映《刺殺金某某》電影，引起該國強烈不滿。隨后，Lazarus Group入侵索尼，進行了報復式的破壞，許多內部文件和文件被竊取、泄露或刪除^【4】。隨后的兩年，多家安全公司參與調查，最終通過Lazarus使用過的自刪除文件、TCP后門中的格式字符串、動態API加載例程、混淆函數名和使用虛假TLS通信等一系列證據，將此前很多起攻擊事件與索尼攻擊事件一起歸因至Lazarus。

（三）SWIFT系統盜取美金

2016年，Lazarus Group通過Alreay攻擊組件，篡改SWIFT軟件，使得其能夠操作銀行賬號任意進行轉賬，竊取孟加拉央行8100萬美元^【5】。此次攻擊使用的自清除文件與攻擊索尼公司的文件相似，因此歸因于Lazarus。此外，這次攻擊的流程與早年間越南、厄瓜多爾等多國銀行被盜事件攻擊流程相似，也同樣歸因于Lazarus。

（四）Wannacry席卷全球

2017年5月，勒索病毒“WannaCry”感染事件爆發，全球范圍近百個國家遭到大規模網絡攻擊^【6】，Lazarus利用NSA泄露“永恒之藍”漏洞散播勒索病毒“WannaCry”，導致目標電腦中大量文件被加密，并被要求支付比特幣以解密文件。谷歌團隊在WannaCry代碼中發現了來自Lazarus集團黑客工具的相似性，因此歸因Lazarus。2018年至2020年期間，美國司法部起訴3名Lazarus成員。

（五）Lazarus入侵印度核電系統

2019年9月，Lazarus成功入侵印度核電系統，由此印度緊急關閉了一座核電站^【7】。此次攻擊主要針對印度原子能管理委員會成員使用魚叉式攻擊，冒充印度核能組織發送誘餌電子郵件，將帶有名為“Dtrack”的惡意軟件的鏈接附在郵件中，一旦點擊鏈接會將惡意軟件下載到計算機上。此次攻擊使用的惡意軟件“DTrack”與“黑暗首爾”有諸多相似之處，實現功能的方式與代碼編寫風格均相同，歸因此事件出自Lazarus之手。

（六）針對漏洞研究人員發動定向攻擊

2021年1月，谷歌安全團隊發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram 等社交媒體，利用虛假身份偽裝成活躍的業內漏洞研究專家，博取業內信任從而對其他漏洞研究人員發動0day攻擊^【8】。從此可以看出Lazarus實際上是想竊取高價值的0Day漏洞信息，從而反映出其開發網絡武器的人員的可能已經“黔驢技窮”。

總結

Lazarus攻擊主要目標以竊取資金和實現政治目的為出發點，無論是在網絡武器方面和攻擊手段方面都能看出該國網軍的實力。

隨著國際對Lazarus的手段越來越明晰，其攻擊的難度也會逐漸加大，未來Lazarus會長期覬0day漏洞等情報資料，不斷擴充其軍火庫，從而提升武器儲備能力。

注解

1. https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
2. https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack
3. https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war
4. https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf
5. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf
6. https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCry Ransomware.pdf
7. https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/
8. https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

文章來源：虎符智庫