疑似APT-C-26（Lazarus）组织通过加密货币钱包推广信息进行攻击活动分析

APT-C-26

Lazarus

ISO文件是未压缩的存档磁盘映像文件，它代表光盘（CD\DVD）上的全部数据，大多数时候ISO文件被刻录到USB/CD/DVD作为可引导内容，用于引导机器进行安装。由于ISO文件的特性，在诱饵文件的使用上深受Lazarus、Winnti、TA505等APT组织的青睐。

近日360高级威胁研究院监测到一起疑似APT-C-26（Lazarus）组织以加密货币钱包推广信息为主题投递恶意ISO文件的攻击事件，攻击者在ISO文件内打包了一个恶意快捷方式（.lnk）文件，当用户打开该快捷方式文件时会调用powershell.exe进程从自身文件中查找数据释放3个文件并执行其中的恶意DLL文件（诱饵PDF、加载器DLL、密文文件），在执行了DLL加载器后最终解密出的后门软件疑似Lazarus组织的NukeSped家族后门。

一、受影响情况

该起攻击事件中主要针对加密货币持有者，攻击者以一款名为Somora的加密货币钱包推广文件向加密货币持有者投递，主要目的疑为窃取加密货币。

二、攻击活动分析1.攻击流程分析

完整的攻击流程如下：

2.恶意载荷分析

攻击者在ISO文件中打包了几张Somora加密钱包程序页面截图和一个命名为“Somora Cryptocurrency Wallet”的快捷方式文件。当受害用户运行了包含恶意代码的快捷方式文件，快捷方式文件会调用powershell.exe进程从自身文件中截取数据分别在%userprofile%\Documents目录下释放一个PDF文件，在%temp%目录释放一个DLL文件和一个密文数据文件。

图 1：ISO打包的文件

打包在ISO文件内的Somora加密钱包截图文件。

图 2：ISO内的Somora加密钱包应用截图

释放的Somora加密货币钱包应用推广PDF文档信息。

图 3：释放的PDF推广信息

Powershell进程执行了指令后，先后打开诱饵PDF文件以及调用rundll32.exe以指定导出函数和命令行执行落地在%temp%目录下的DLL文件。

图 4：lnk文件执行的恶意代码

落地%temp%目录下的DLL文件实则为loader程序，loader程序正常运行的话从指定导出函数执行,并通过命令行获取密文数据的文件名将其文件数据读取到内存中，随后使用特定key进行异或运算解密得到第一阶段的Shellcode运行。

图 5：异或解密Shellcode

3.攻击组件分析

Lazarus组织使用的NukeSped家族后门历史悠久，其使用历史可追溯到2015年前。发展至今衍生出多个版本其后门功能也五花八门，因此次事件中Shellcode解密出来的后门程序中使用的特殊字符、代码结构、代码习惯上都与NukeSped家族后门存在相似度，所以推测是NukeSped家族后门的某变种版本。

一阶段中解密出的Shellcode其主要功能是将Shellcode中打乱编码的后门程序数据进行还原并装载运行。

图 6：编码打乱的PE数据

由于是从多段Shellcode中解密数据进行装载和经典NukeSped后门不同它显得更加“简洁”，后门程序所需使用的敏感字符信息以及敏感API信息都未做“掩饰”处理。

后门的C&C地址以及运行过程中使用的字段信息都以硬编码的形式存储。

图 7：C&C地址

在正式发送上线包之前程序获取当前进程的PID充当上线包tuid字段值，并获取一个随机数使用自定义编码进行异或运算后转成base64字符充当上线包payload字段值。

图 8：上线字段信息

发送上线包时后门程序通过检索注册表判断当前机器是否使用代理确保上线包正常发出，上线包以POST请求指定443端口向攻击者C&C服务器进行发送。

图 9：上线包发送

攻击者返回的base64指令数据先进行base64解码处理后再使用自定义的编码进行异或解码。

图 10：异或编码

后门指令支持攻击者在受害用户机器上获取用户机器信息、落地文件、执行指定命令等操作。

指令

行为

0x892

休眠

0x899

退出

0x895

重试

0x894

文件落地

0x896

模块信息获取

0x89C

进程注入

0x893

获取指定文件信息

0x898

执行指定命令

0x897

执行指定进程

三、技战法变化

与以往披露的NukeSped家族后门不同，此次发现的后门未与杀毒引擎的静态扫描做对抗，而以往发现的NukeSped家族后门则使用RC4或者是DES加密对C&C服务器列表和所使用的字符信息进行加密处理用以规避杀毒引擎的静态扫描。

在网络行为中也抛弃了使用对称加密算法对受害机器信息进行加密，换用了自定义的异或算法加密。

四、归属研判

Lazarus组织的NukeSped家族后门历史悠久期间衍生了多个版本变种，此次捕获到的后门软件在某些地方让人不禁联想到NukeSped家族后门。

在ESET公司2018年Lazarus行动总结报告[1][2]中披露有用于命令行格式化字符串多次被Lazarus所使用。

图表 11：所披露用于的格式化字符

此次活动中使用的后门程序中回传命令执行代码。

图 12：此次事件样本

以往Lazarus活动中使用的NukeSped后门样本中的回传命令执行代码，对比之下几乎一致。

图 13：0ae1172aaca0ed4b63c7c5f5b1739294（以往）

此次攻击活动中发现的后门程序和以往披露的NukeSped家族后门一样习惯使用硬编码存储C&C服务器地址和端口信息，习惯在代码中引用随机数，以及其标志性的后门指令都让人联系到Lazarus组织的NukeSped家族后门。

因此我们有理由怀疑此次攻击活动中使用的后门软件是Lazarus组织所使用的NukeSped家族后门某一变种。

图14：此次事件中后门指令的识别于执行

以往的NukeSped家族后门指令提取。

图15：后门指令格式

附录 IOC

10d0ad8268ced4558153c235d0b95fdf

d71a8f5d20bf54ea9004881dd94a14e2

90231bdcab5532fec182f0150e001634

db5c662750952b87fc9d7e820664acc6(密文数据)

3099980ca44cae6a68887bbcb37ac5e6

droidnation[.]net/nation.php

参考

https://www.virusbulletin.com/uploads/pdf/magazine/2018/VB2018-Kalnai-Poslusny.pdf

[2]

https://github.com/eset/malware-ioc/blob/master/nukesped_lazarus/README.adoc

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。