朝鮮黑客組織Lazarus使用木馬化的DeFi APP傳播惡意軟件。
Lazarus是知名的朝鮮黑客組織���,經(jīng)濟利益是其首要目標(biāo)���,尤其是加密貨幣相關(guān)的業(yè)務(wù)。隨著NFT和Defi的不斷發(fā)展�����,Lazarus黑客組織在經(jīng)濟領(lǐng)域的攻擊目標(biāo)也在不斷地發(fā)展����。
近日,研究人員發(fā)現(xiàn)一款朝鮮黑客組織Lazarus使用的木馬化的DeFi應(yīng)用�,其編譯時間為2021年11月。該應(yīng)用中含有一個合法的 DeFi 錢包�,用于保存和管理加密貨幣錢包���,同時在執(zhí)行時會植入一個惡意文件。注入的惡意軟件是一個功能齊全的后門���。
背景
2021年12月�,研究人員發(fā)現(xiàn)一個上傳到VirusTotal的可以文件���,看似是一個與DeFi 相關(guān)的合法應(yīng)用���,文件的編譯時間為2021年11月,執(zhí)行時�����,應(yīng)用會釋放一個惡意文件和合法應(yīng)用的安裝器����。然后,惡意軟件會用木馬化的應(yīng)用來覆寫合法的應(yīng)用���。最后�,木馬化的應(yīng)用會從磁盤移除���。
初始感染鏈
研究人員懷疑攻擊者通過魚叉式釣魚郵件的方式誘使用戶執(zhí)行木馬化的APP�����。感染流程就是從木馬化的應(yīng)用開始的�����,安裝包偽裝成一個 DeFi 錢包程序����,但其中包含了惡意木馬���。
執(zhí)行后���,就會獲取下一階段惡意軟件路徑(C:\ProgramData\Microsoft\GoogleChrome.exe) ,并用一字節(jié)異或解密�����。在創(chuàng)建下一階段惡意軟件的過程中��,安裝器會將包含MZ header的前8個字節(jié)寫入GoogleChrome.exe文件�。然后��,惡意軟件會從body加載資源CITRIX_MEETINGS����,并保存到路徑 C:\ProgramData\Microsoft\CM202025.exe��。生成的文件是一個合法的DeFi 錢包應(yīng)用��。最后�,以之前創(chuàng)建的惡意軟件文件名作為參數(shù)執(zhí)行:
C:\ProgramData\Microsoft\GoogleChrome.exe [current file name]
后門創(chuàng)建
最后生成的惡意軟件是一個偽裝為谷歌Chrome瀏覽器的木馬化的應(yīng)用。啟動后�,惡意軟件在嘗試復(fù)制合法文件應(yīng)用C:\ProgramData\Microsoft\CM202025.exe到命令行參數(shù)中的路徑前會檢查是否提供了參數(shù),這表示覆寫原始木馬化的安裝器����,達到隱藏之前存在性的目的。然后����,惡意軟件會執(zhí)行合法的文件向用戶展示合法安裝過程以欺騙受害者。用戶執(zhí)行新安裝的程序后�����,會展示一個由開源代碼構(gòu)建的DeFi錢包應(yīng)用�����。
然后,惡意軟件開始初始化配置信息����,其中包含C2服務(wù)器地址、受害者id值�、時間等。從配置結(jié)構(gòu)來看�,惡意軟件可以配置5個C2地址��。然后隨機選擇一個C2地址來發(fā)送beacon信號�。如果C2返回了期望值,那么惡意軟件就會開始后門操作����。
與C2通信之后,惡意軟件會通過預(yù)定義的方法加密數(shù)據(jù)�。加密是通過RC4和硬編碼的密鑰0xD5A3實現(xiàn)的。
然后���,惡意軟件會用硬編碼的名字生成POS參數(shù)�。將請求類型(msgID)���、受害者ID和隨機生成的值融合生成jsessid參數(shù)���。此外�����,還使用cookie參數(shù)保存4個隨機生成4字節(jié)值��。這些值也是用RC4加密的�,并進行base64編碼���。根據(jù)對C2腳本的分析�����,研究人員發(fā)現(xiàn)惡意軟件不僅使用jsessid參數(shù)���,還使用了jcookie參數(shù)。
隨后的HTTP 請求表明惡意軟件嘗試用請求類型60d49d98 和隨機生成的cookie值連接到C2���。
根據(jù)C2的響應(yīng)�,惡意軟件會執(zhí)行指令的后門任務(wù)。然后執(zhí)行不同的功能來收集系統(tǒng)信息和控制受害者機器���。
基礎(chǔ)設(shè)施
在攻擊活動中���,Lazarus組織使用了位于韓國的被入侵的web服務(wù)器。研究人員從其中一個被黑的服務(wù)器中獲得了對應(yīng)的C2腳本��,如下所示:
http://bn-cosmo[.]com/customer/board_replay[.]asp
該腳本是一個VBScript.Encode ASP 文件���,這是Lazarus 組織的C2腳本中是非常常用的����。解碼后���,可以看到一個錯誤碼60d49d95,而字符串60d49d94 就表示成功消息��。此外����,連接歷史被保存在文件stlogo.jpg 中,下一階段的C2地址被保存在同一文件夾的globals.jpg 文件中��。
圖5 C2腳本配置
腳本會檢查jcookie 參數(shù)的值,如果長度大于24個字符���,就提出前8個字符作為msgID��。然后根據(jù)msgID的值��,調(diào)用不同的函數(shù)���。后門命令和命令執(zhí)行結(jié)果會保存為全局變量。該腳本使用以下變量作為flag和緩存來傳遞后門和第二階段C2服務(wù)器之間的數(shù)據(jù)和命令:
lFlag: 表明有數(shù)據(jù)要傳遞給后門的flag
lBuffer: 保存之后要發(fā)送給后門的數(shù)據(jù)的緩存
tFlag: 表明來自后門的響應(yīng)的flag
tBuffer: 保存來自后門的數(shù)據(jù)的緩存
與Lazarus有關(guān)
研究人員經(jīng)過分析認為該惡意軟件與Lazarus 組織有關(guān)��,因為該惡意軟件與之前發(fā)現(xiàn)的CookieTime cluster非常類似�����。CookieTime cluster是Lazarus 組織一直在用的一個惡意軟件集合����。研究人員發(fā)現(xiàn)該惡意軟件與CookieTime cluster的后門switch結(jié)構(gòu)完全相同,從客戶端提取IP地址的腳本幾乎相同��,保存數(shù)據(jù)到文件的腳本也非常類似�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
