【安全资讯】Lazarus组织利用招聘信息针对特定国家的定向攻击事件
引言
研究人员观察到了Lazarus组织的最新攻击活动,这场活动可能针对美国和欧洲的工程求职者和从事机密工程工作的员工。攻击活动中的文件用波音和BAE系统公司的工作机会吸引受害者,试图假冒新的国防承包商和工程公司,如空中客车、通用汽车和莱茵金属公司等。所有这些文件都包含宏恶意软件,这些宏恶意软件在活动中被开发和改进。恶意文档的核心技术是相同的,并且攻击者试图减少潜在的检测并增加宏的功能。
简况
自2009年起,Lazarus Group 使用的已知工具和功能包括 DDoS 僵尸网络、键盘记录器、远程访问工具 (RAT) 和驱动器擦除恶意软件。该团体使用的最公开记录的恶意软件和工具包括 Destover、Duuzer 和 Hangman。研究人员在2021 年 5 月到 2021 年 6 月发现以下几份与 Lazarus 组织有关的文件:
- 1.Rheinmetall_job_requirements.doc
- 2.General_motors_cars.doc
- 3.Airbus_job_opportunity_confidential.doc
2021 年 5 月初观察到的前两份文件与一家专注于国防和汽车行业的德国工程公司莱茵金属公司有关。文件都包含具有 base64 编码的宏文件,这些文件在执行过程中被提取和解码。一些文件在宏内拆分,直到解码时才合并。这个宏最显着的特征之一是通过将前两个字符与其余内容分开来逃避以 base64编码的 MZ 标头的检测(TVoA、TVpB、TVpQ、TVqA、TVqQ 或 TVro)。其余内容以 64 个字符的行形式保存在一起,因此,YARA 规则可用于检测除 MZ 标头之外其他以base64编码的典型可执行内容。研究人员发现有九种不同的 YARA 规则会针对可疑的编码字符串发出警报,例如 VirtualProtect、GetProcAddress、IsDebuggerPresent、GetCurrentProcessId 等,如下图所示:
在观察到莱茵金属公司的文件的几周后,研究人员发现了一份针对通用汽车的文件,文件与之前发现的文件非常相似,只有少量更新。在尝试执行其所有代码后,宏会向 C&C 服务器报告感染状态。变量从1更新为3,表示执行的状态。C&C能够根据对C&C中不同文档的请求跟踪其执行失败或遇到意外行为的位置。这包括:
1.在复制、解码、重命名和执行有效载荷期间;
2.成功执行payload后;
3.如果有效载荷能够联系 C&C 并下载一个文件,该文件保存在 C:\Drivers 文件夹中,扩展名为 inf。
6月初,研究人员又发现了一份针对空中客车的新文件,其中的C2通信与针对通用汽车的文件中的C2通信非常相似,但执行和注入过程是不同的。本文档继续使用和伪装 Certutil,但复制命令少量添加了另一个星号以降低检测风险:%systemroot%\system32\*ertut*.exe。除了 Certutil 之外,合法的资源管理器可执行文件通过类似的方法%systemroot%\exp*.exe复制到C:\Drivers文件夹。如前所述,这些文件将被复制和重命名,以避免基于 EDR 签名的检测,但这次目标文件名是经过仔细选择的。如果按字母顺序排列,前两个文件将对应于合法软件,其次是恶意文件。
总结
报告的活动与Lazarus过去的活动保持一致,可能针对政府组织的工程专业人员。Lazarus 使用与过去相同的策略、技术和程序,例如使用下载远程模板的 Microsoft Office 文档、Microsoft Office 宏和受损的第三方基础设施来托管有效负载和代理 C&C 流量。
