太阳集团2138备用网址

  • 2019-06-26
  • [加油!向未来]国产大飞机C919遇严峻考验 机翼被“虐”向上弯曲3米 2019-06-26
  • “新四大发明”火了!中国与世界有了新的沟通桥梁 2019-06-26
  • 《都挺好》曝光终极预告 直击当代家庭“痛点” 2019-06-26
  • 2019-06-26
  • 2019-06-26
  • 7月可乘直升机游览青海湖 2019-06-26
  • 2019-06-26
  • 培华学院召开新闻信息培训暨表彰大会 2019-06-26
  • 吉林师范大学《见地》摄影比赛作品选登 2019-06-26
  • 广州南沙工商企业获得电力暖心服务 2019-06-26
  • 张兴海:汽车新制造是全生命周期的新的制造理念和体系 2019-06-21
  • 2019年03月08日 星期五 2019-06-21
  • 【红人馆】合肥摆了9年的米糕摊又小又难找 摊主竟是两位聋哑合伙人! 2019-06-21
  • 华为 Mate 7(尊爵版电信4G)评论 2019-06-21
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    朝鲜APT组织Lazarus使用KEYMARBLE后门攻击俄罗斯

    来源:本站整理 作者:佚名 时间:2019-02-25 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、简介
    在过去的几周里,我们一直在监控针对俄罗斯公司的可疑活动,我们观察到朝鲜对俄罗斯实体开展的一次攻击,这个活动暴露了我们之前从未见过的捕食者-猎物关系。虽然将攻击归因于某个威胁组织或其他组织是有问题的,但下面的分析揭示了其与朝鲜APT组织Lazarus使用的战术、技术和工具的内在联系。
    这一发现来自我们正在跟踪的为俄罗斯受害者专门设计和制作的多个恶意Office文档。通过仔细检查这些文档,我们能够看出它们属于感染链的早期阶段,此感染链的终端是一个多功能Lazarus后门的更新版本,被US-CERT称为KEYMARBLE 。
    Lazarus有时也被称为Hidden Cobra,是当今世界上最流行和最活跃的APT组织之一。此臭名昭著的组织,据称是朝鲜赞助的威胁行为者,被认为是过去十年中一些重大安全事件的幕后黑手。其中包括Sony Pictures Entertainment hack,孟加拉国银行抢劫案(Bangladesh bank heist)以及众多其他高风险业务,例如从全球至少五种不同的加密货币交换服务中盗窃价值数百万美元的加密货币。
    虽然我们的活动时间表与上周EST安全报告(report )中针对韩国安全公司的“Operation Extreme Job”活动重叠,但我们观察到两个活动中采用了不同的策略、技术和程序(TTP)。
    长期以来,安全界一直认为,Lazarus至少分为两个分支:第一分支名为Andariel,主要侧重于攻击韩国政府和组织,第二分支是Bluenoroff,其主要关注的是货币化和全球间谍活动。同时进行的两次活动之间的差异再次证实了多个分支同时运作的理论。
    然而,这一事件代表了朝鲜威胁行动者对受害者的不寻常选择。通常,这些攻击反映了朝鲜与美国、日本和韩国等国家之间的地缘政治紧张局势。但在本案例中,针对的是俄罗斯机构。
    二、感染链
    在分析中,我们遇到两种不同的感染流程。
    主要感染流程包括以下三个步骤:
    1、一个包含两个文件的ZIP文件:良性诱饵PDF文档和携带宏的恶意Word文档。
    2、恶意宏从Dropbox URL下载VBS脚本,然后执行。
    3、VBS脚本从dropzone服务器下载CAB文件,使用Windows expand.exe实用程序提取嵌入的EXE文件(后门),最后执行它。
    起初,感染链由上述所有阶段组成,但在某一时刻,攻击者决定跳过感染链的第二阶段,修改恶意Word宏直接“下载并执行”第三阶段的Lazarus 后门。

    图1: 感染流程
    1.伪装Office文档
    与此活动相关的所有文档在26-31/01/19时间周期,从俄罗斯的不同来源上传到VirusTotal,看起来与原始文件名相似。
    所有文档包括类似的元数据,其中“home”作为作者姓名,以及韩语代码页。
    在活动期间,攻击者利用多个诱饵图像来说服受害者点击“启用内容”按钮并触发恶意宏代码。

    “2018.11.2~2019.1.26_ErrorDetail.doc”
    首次提交: 2019-01-31 13:45:04代码页: Korean作者: home
    注意: 图片中的西里尔文字符
    SHA-1: 088c6157d2bb4238f92ef6818b9b1ffe44109347

    “Serial_Numbers.xls”
    首次提交: 2019-01-31 06:56:00代码页: Korean作者: home
    SHA-1:4cd5a4782dbed5b8e337ee402f1ef748b5035709

    “LosAngeles_Court_report.doc”
    首次提交: 2019-01-26 09:59:50代码页: Korean作者: home
    SHA-1:e89458183cb855118539373177c6737f80e6ba3
    2.恶意宏
    该活动在dropper的XLS和DOC变体中有着非常相似的宏代码。
    宏本身非常简单明了,但在本案例中,保持宏简单并且没有任何高级混淆技巧,导致恶意文档无法被Virus Total上许多著名的安全供应商检测到。
    其中在一个文档中的下载阶段,HTTP请求标头中出现了Dropbox “Host”字段(无法解释其作用)。

    图2: HTTP请求标头中的Dropbox “Host”字段
    谜团很快解决了,因为我们找到了另一个相关样本,它从Dropbox下载了感染链的下一阶段。很明显,在此活动期间Dropbox是第二阶段感染的原始来源。

    图3: 负责从DropBox下载第二阶段感染的代码
    3.诱饵文档
    在此活动期间,至少有一个恶意Office文档最初是通过ZIP文件分发的,另外还有另一个名为NDA_USA.pdf的PDF诱饵文档。

    图4: ZIP中包含的诱饵和恶意文件
    良性文档试图使文件看起来合法,内容为StarForce技术的NDA。StarForce是俄罗斯一家提供软件复制保护解决方案的公司。

    图5: 发送给诱饵受害者的良性文档

    [1] [2] [3]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载