北韓APT駭客組織 Lazarus被發現利用Log4j漏洞部署新的 RAT 惡意軟體

北韓APT 組織 Lazarus 是一場新的駭客活動的幕後黑手,該活動利用 Log4j 漏洞部署以前未記錄的遠端存取木馬 (RAT)。思科 Talos 研究人員將該活動追蹤為鐵匠行動Operation Blacksmith,該行動於 2023 年 3 月左右開始,針對全球製造、農業和實體安全公司。鐵匠行動代表了Lazarus所使用的戰術和工具的顯著轉變,再次證明了這個威脅組織不斷變化的戰術。據信,北韓駭客至少打造了三個基於DLang的新惡意軟體系列。其中包括一種名為NineRAT 的RAT(利用Telegram 進行命令和控制(C2))、DLRAT 和一個名為BottomLoader 的下載程式。Talos 認為 NineRAT 於 2022 年 5 月左右打造成,但首次被發現是在 2023 年 3 月,當時是鐵匠行動的一部分。三月,駭客襲擊了南美洲的農業組織,專家在 2023 年 9 月左右觀察到 NineRAT 針對一家歐洲製造實體的使用情況。

新的惡意軟體工具

第一個惡意軟體 NineRAT 是 Lazarus兩種新型 RAT 中的第一種。它使用 Telegram API 進行命令和控制 (C2) 通信,包括從受攻擊的電腦接收命令和竊取檔案。

NineRAT 包含一個釋放器,它還負責建立持久性並啟動主要的二進位檔案。

該惡意軟體支援以下命令,這些命令透過 Telegram 接受:

info – 收集有關受感染系統的初步資訊。

setmtoken – 設定令牌值。

setbtoken – 設定新的機器人令牌。

setinterval – 設定惡意軟體輪詢 Telegram 頻道之間的時間間隔。

setsleep – 設定惡意軟體應休眠/休眠的時間段。

升級 – 升級到新版本的植入程式。

exit – 退出惡意軟體的執行。

卸載 – 從端點卸載自身。

sendfile – 從受感染端點將檔案傳送到 C2 伺服器。

第二個惡意軟體DLRAT是一種木馬和下載程式,Lazarus 可利用它在受感染的系統上引入額外的酬載。DLRAT 是 Lazarus 趨勢的另一個迭代,它始於MagicRAT,使用奇異/不常見的語言和框架,以及模組化惡意軟體以避免檢測

DLRAT 在設備上的第一個活動是執行硬編碼命令來收集初步系統資訊,如作業系統詳細資訊、網路 MAC 位址等,並將其發送到 C2 伺服器。

攻擊者的伺服器回應受害者的外部 IP 位址和以下命令之一,以便惡意軟體在本地執行:

deleteme – 使用 BAT 檔案從系統中刪除惡意軟體

下載 – 從指定的遠端位置下載檔案

重新命名 – 重新命名受感染系統上的檔案

iamsleep – 指示惡意軟體在設定的時間內進入休眠狀態

上傳-上傳檔案到C2伺服器

showurls – 尚未實施

最後,思科分析師發現了BottomLoader,這是一種惡意軟體下載程式,它使用PowerShell 從硬編碼URL 獲取並執行有效酬載,同時也透過修改啟動目錄來建立持久性。此外,BottomLoader 還為 Lazarus 提供了將檔案從受感染系統洩漏到 C2 伺服器的能力,從而提供了一定的操作多功能性。

Log4Shell 攻擊

Cisco Talos 觀察到的攻擊涉及利用Log4Shell,這是Log4j 中的關鍵遠端程式碼執行漏洞,大約在兩年前被發現並修復仍然是一個安全問題.

這些目標是面向公眾的VMWare Horizo​​n伺服器,該伺服器使用易受攻擊的Log4j日誌庫版本,允許攻擊者執行遠端程式碼。

入侵後,Lazarus 設定了一個代理工具,用於在受攻擊的伺服器上進行持久訪問,運行偵察命令,創建新的管理員帳戶,並部署 ProcDump 和 MimiKatz 等憑證竊取工具。

在攻擊的第二階段,Lazarus 在系統上部署 NineRAT,該系統支援廣泛的命令。

Photo Credit: Operation Blacksmith attack chain (Cisco Talos)

思科的結論是,Lazarus 可能會向其旗下的其他 APT(進階持續性威脅)組織提供 NineRAT 收集的資料。

這個假設基於以下事實:NineRAT 執行系統re-fingerprinting,在某些情況下,這意味著它可能正在為多個參與者執行系統識別和資料收集。

Operation Blacksmith的部分入侵指標(Indicator of compromise -IOCs):

9b020978a1ddab1e949a631c4863e4a9d4328149

7f32ca98ce66a057ae226ec78638db95feebc59295d3afffdbf407df12b5bc79

a48abe2847e891cfd6c18c7cdaaa8e983051bc2f7a0bd9ef5c515a72954e1715

0d133dde99d883274bf5644bd9e59af3c54c2b3c65f3d1bc762f2d3725f80582

4f01ffe98009a8090ea8a086d21c62c24219b21938ea3ec7da8072f8c4dcc7a6

隨著COVID-19疫情持續蔓延,有證據發現北韓APT組織Lazarus Group(拉撒路小組)試圖竊取COVID-19研究和疫苗開發,攻擊研究實體!

於2020年秋季,卡巴斯基的全球研究與分析團隊(GReAT)發現了兩個針對與COVID-19的研究組織被國家級駭客組織攻擊(APT)。駭客的攻擊目標是一個國家的中央衛生部和製藥公司,GReAT研究人員追踪臭名昭著的北韓APT組織Lazarus Group(拉撒路小組) 發動了這次的攻擊,攻擊了參與COVID-19研究和疫苗開發的組織,以加快其國疫苗開發的速度。

拉撒路小組攻擊的關係

研究專家Seongsu Park在APT報告中說,拉撒路小組分別於9月和10月滲透了一家製藥公司和政府衛生部的網路,但沒有透露具體的目標實體,僅表示該製藥公司於2020年9月25日遭到入侵,一個月後的10月27日政府衛生部遭到攻擊。

值得注意的是,拉撒路小組部署的“ BookCodes ”惡意軟體,該惡意軟體最近在韓國軟體公司WIZVERA的供應鏈攻擊中被用於安裝在目標系統的遠端管理工具(RAT)上。 BookCodes為Lazarus專門使用的惡意軟體, 在進入受害者的網路後,北韓的駭客部署了BackCodes和具有後門功能的wAgent惡意軟體。

這兩種攻擊利用了重疊程度不大的不同惡意軟體,但研究專家可以確認他們都與拉撒路小組有聯繫,並且在post-exploitation中發現了重疊。

攻擊衛生部的最終payload是wAgent惡意軟體,它是一種旨在從C2部署其他payload,包括持久的後門並將其加載到受感染系統的內存中。在10月27日發生的攻擊中,使用的wAgent惡意軟體“具有與拉撒路小組先前用於攻擊加密貨幣搶劫案的相同惡意軟體的程式語言”。

在9月25日針對製藥公司的攻擊中,拉撒路小組使用Bookcode惡意軟體收集系統資訊,包含Sam dump中密碼的hash和AD資訊。

即使在過去,駭客組織在供應鏈攻擊和通過魚叉式網路釣魚部署惡意軟體,但沒有發現其初始的攻擊媒介。

Kaspersky沒有透露遭受攻擊的製藥公司的身份,但他們確實透露了該公司有參與COVID-19疫苗的開發,並且也“被授權生產和分發COVID-19疫苗”。目前只有在美國,英國,俄羅斯,中國等國家的製藥組織開發的COVID-19疫苗達到授權/批准狀態(因此受害製藥公司必在其中):

輝瑞-BioNTech

莫德納 Moderna

武漢生物製品研究所

Gamaleya研究所

北京生物製品研究所

俄羅斯聯邦預算研究機構病毒與生物技術國家研究中心

Kasperky安全專家Park補充說:“這兩個事件表明拉撒路小組對與COVID-19有關的情報感興趣。” “我們認為,目前參與疫苗研究活動的所有實體都應高度警惕網路攻擊。”

Lazarus Group針對COVID-19相關研究發動的攻擊有關情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fe36c30dbe6a83c04783415

Resource: https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

*****竣盟科技快報歡迎轉載,但請註明出處