【安全资讯】Lazarus组织“AppleJeus Operation”新样本分析

引言

研究人员分析了与Lazarus组织相关的新样本。虽然一些细节发生了变化，但当前样本中使用的方法看起来与该组织发起的“AppleJeus”攻击活动的攻击方式非常相似，都使用合法的加密交易应用程序，并且都有一个二级程序，即恶意软件组件。

简况

此次样本与Lazarus组织发起的“AppleJeus”攻击活动之间有很多相似之处。样本与之前的活动之间的差异是创建了外部例程以替换一些代码块。Lazarus组织发布了合法加密交易应用程序“QtBitcoinTrader”的木马化版本，与之前的操作不同，感染的各个阶段都位于MSI包中。MSI包嵌入了恶意库、shellcode，并且在Virustotal上的检测率非常低。此外，安装程序将其内容放入目录“%appdata%/QtBitcoinTrader”后，将名为“CertEnrollCtrl.exe”的合法可执行文件作为任务复制到同一目录中。样本的工作方式如下图：

恶意库“dsparse.dll”是利用“DLL Side-Loading”技术加载的，实际上由进程“CertEnrollCtrl.exe”加载。合法库“dsparse.dll”实现了活动目录服务的 API。该库的目的是将运行嵌入式可执行文件的 shellcode 加载到内存中，作为最终的后门。在main函数中，两个参数被传递，即文件名执行和有效负载文件名。有效负载是用xor算法加密的。最后，负载在一个新线程中执行。加密的有效负载在VirusTotal上的检测值为0。被解密的有效载荷中包含PE。之后，PE被解析并加载到内存中。即使PE被嵌入到有效负载中，也会检查PE头签名。最后，调用入口点执行嵌入式PE。最终有效载荷，即由shellcode运行的嵌入式PE，是最终的后门文件。

• 后门具有完善的功能，具有以下特点:
• 从C2下载文件，并存储在系统中
• 将本地文件上传到C2
• 执行shell命令，返回output/errors
• 将文件名作为新进程运行
• 在内存中运行PE
• 在PID选择的另一个进程中注入PE

总结

Lazarus APT组织是疑似由朝鲜政府资助的APT团伙，攻击活动最早可追溯到2007年，早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。2018年，研究人员首次披露了其名为AppleJeus的攻击行动。此次发现的样本与AppleJeus攻击行动高度相似，这表明Lazarus组织仍在继续发起AppleJeus攻击活动。Lazarus团伙长期活跃，且武器库十分强大，需要高度警惕。