Lazarus 黑客組織發起“死亡筆記”攻擊計劃,目標

  網絡滲透測試     |      2023-04-15 11:26

卡巴斯基近日發布公告,稱 Lazarus黑客組織正在改變目標、戰術,進行一項名為“死亡筆記”的攻擊計劃,目標直指國防工業。

Lazarus 黑客組織發起“死亡筆記”攻擊計劃,目標直指國防工業

死亡筆記”攻擊時間線

過去Lazarus黑客組織多針對加密貨幣領域持續攻擊,但近幾年它也將目標對準了東歐和世界其他地區的汽車、學術和國防部門,這是一個“重要”的轉變。

 追蹤“死亡筆記” 

Lazarus 長期以來一直以加密貨幣相關業務為目標。在監控攻擊者的活動時,安全專家注意到在一個特定案例中,該黑客組織使用了經過重大修改的惡意軟件。

2019 年 10 月中旬,安全專家發現了一份可疑文件。經進一步調查,發現該武器化文檔背后的攻擊者自 2018 年 10 月以來一直在使用類似的含有特定加密貨幣,以及對比特幣挖礦公司介紹的惡意 Word 文檔。

Lazarus 黑客組織發起“死亡筆記”攻擊計劃,目標直指國防工業

將目標重點轉移到國防工業

在跟蹤此活動時,安全專家發現該組織的攻擊目標發生了重大變化——DeathNote 被用于針對東歐的汽車和學術部門,這兩個部門都與國防工業關系緊密。攻擊者會將所有誘餌文件轉換為與國防承包商和外交部門相關的職位描述。

Lazarus 黑客組織發起“死亡筆記”攻擊計劃,目標直指國防工業

此外,攻擊者還改進了其感染鏈,在其武器化文檔中使用遠程模板注入技術,并利用木馬化的開源 PDF 查看器軟件。

這兩種感染方法都會產生相同的惡意軟件(DeathNote 下載程序),該惡意軟件負責上傳受害者的信息并根據 C2 的判斷檢索下一階段的有效負載。最后,在內存中執行COPPERHEDGE變體。

 擴大目標并采用新的感染媒介 

2021 年 5 月,歐洲一家提供監控網絡設備和服務器解決方案的 IT 公司被同樣的攻擊者入侵。據信,Lazarus 集團對該公司廣泛使用的軟件或其供應鏈感興趣。

2021 年 6 月上旬,Lazarus 組織開始利用一種新的感染機制來針對韓國的目標。引起我們注意的一件事是,惡意軟件的初始階段是由在韓國廣泛使用的合法安全軟件執行的。

大約在同一時間,拉丁美洲的一家國防承包商被同一個后門入侵。最初的感染媒介與其他國防工業目標中看到的類似,涉及使用帶有特制 PDF 文件的木馬化 PDF 閱讀器。

2022 年 7 月,Lazarus 組織成功攻破了非洲的一家國防承包商。

最初的感染是一個可疑的 PDF 應用程序,它是通過 Skype 信使發送的。執行 PDF 閱讀器后,它在同一目錄中創建了合法文件 (CameraSettingsUIHost.exe) 和惡意文件 (DUI70.dll)。

這種攻擊嚴重依賴于在前一個案例中觀察到的相同 DLL 側加載技術。最初由 PDF 閱讀器植入和執行的有效負載負責收集和報告受害者的信息,以及從名為 LPEClient 的遠程服務器檢索額外的有效負載。Lazarus 組織在各種活動中多次使用此惡意軟件。

他們還利用相同的 DLL 側面加載技術植入能夠進行后門操作的其他惡意軟件。為了橫向跨系統移動,演員使用了一種有趣的技術,稱為服務移動。

Lazarus 黑客組織發起“死亡筆記”攻擊計劃,目標直指國防工業

 Lazarus 組織攻擊策略 

在調查此活動期間,安全專家對 Lazarus 組織的后開發策略有了廣泛的了解。

初次感染后,操作員執行大量 Windows 命令以收集基本系統信息并嘗試查找有價值的主機,例如 Active Directory 服務器。

在橫向移動之前,Lazarus 小組使用眾所周知的方法獲取了 Windows 憑據,并采用了公共技術,例如 ServiceMove。

當該組織完成任務并開始竊取數據時,他們主要使用 WinRAR 實用程序壓縮文件并通過 C2 通信通道傳輸。

階段   例子  
基本偵察   通常使用的 Windows 命令。例如:

cmd.exe /c netstat -ano | 找到TCP統信息

在一種情況下,他們直接訪問默認域控制器策略。