由朝鮮贊助的APT集團Lazarus旗下的分支機構Bluenoroff被發現最近將目光轉向了俄羅斯組織。Bluenoroff在新活動中使用專門針對俄羅斯組織的惡意辦公室文件。
Lazarus(又名爲HIDDEN COBRA,Guardians of Peace,ZINC和NICKEL ACADEMY)在2009年開始活躍,一般只針對反對朝鮮政權的國家的實體。他們發起的最具影響力的***的受害者有美國著名娛樂公司索尼影視和全球多家銀行,***所獲非法收入至少有1.4億美元。
Lazarus的活動時間表
俄羅斯網絡安全供應商group - IB將2017年至2018年期間對加密貨幣交易所和礦業市場的多次***也歸咎於“Lazarus”,該組織通過這些***淨賺金額超過5.5億美元。
這個意圖危害俄羅斯組織的新活動以Office文檔爲初始感染階段和收尾階段的一部分,刪除了該組織的KEYMARBLE後門***。
根據US-CERT惡意軟件分析報告,APT使用該***“訪問設備配置數據、下載其他文件、執行命令、修改註冊表、捕捉屏幕截圖、竊取數據”。
Check Point研究小組觀察到的感染鏈由三個步驟組成,但在某個時間點,***者決定跳過第一個步驟,通過移除第二個步驟更快地放下後門:
A ZIP file which contains two documents: a benign decoy PDF document and a malicious Word document with macros.
The malicious macro downloads a VBS script from a Dropbox URL, followed by the VBS script execution.
The VBS script downloads a CAB file from the dropzone sever, extracts the embedded EXE file (backdoor) using Windows’ “expand.exe” utility, and finally executes it.
在決定跳過第二步後,***者修改了Word文檔中的惡意宏,直接交付並執行KEYMARBLE***程序。
感染流程
Lazarus的***活動中,他們針對俄羅斯方面使用了ZIP文件形式的Office文檔,其中包含名爲NDA_USA.pdf的誘餌PDF文檔,其中包含StarForce Technologies NDA協議,該協議是一家提供複製保護軟件的俄羅斯軟件公司所作。
通過這種方式,最初的惡意有效負載看起來更合法一些,誘使潛在的俄羅斯受害者也打開裝有惡意宏的Word文檔,從而可以啓動感染過程。
爲了將KEYMARBLE後門傳送到目標計算機上,Lazarus將使用被妥協的服務器將其存儲爲僞裝成JPEG圖像的CAB檔案。這也帶來了一個次要的“好處”,通過降低反惡意軟件檢測率,“從五個供應商到僅僅兩個供應商在VirusTotal上檢測到這個文件是惡意的”。
樣品檢測率
KEYMARBLE後門只是Lazarus在其武器庫中的多系列惡意軟件之一,US-CERT在2017年5月12日到2018年10月2日期間識別出屬於他們的15種不同的惡意軟件。
這與由Novetta領導的多家安全公司在“重武器行動”(Operation Blockbuster)中發現的情況完全一致,他們當時檢測到數十個惡意軟件系列並與Lazarus運營相關聯。
Lazarus惡意軟件工具集
正如Check Point對屬於Lazarus的最新活動的分析所詳述,一旦KEYMARBLE後門成功部署在受感染的機器上,它將進入一個循環,等待來自***組織的18個可能命令之一:
After the initial beacon the malware will enter an infinite loop where it will anticipate to get command codes from the server. These will be passed on to a dispatcher function, where each command will be handled by an appropriate handler. The command is received in two parts – first the server will send a message carrying the command’s data length, and only then it will issue the actual command code.
儘管Lazarus已用過往證明,他們能成功***系統和網絡上的所有其他數據,並連同他們的足跡一起摧毀,但到目前爲止,他們目前的行動似乎只專注於在KEYMARBLE惡意軟件的幫助下收集信息。此外,根據FireEye的調查,到目前爲止,Lazarus在全球至少11個國家開展了高度複雜的行動。