{
	"id": "dc93adbb-45bc-440b-b0d2-cb6da3bc25ae",
	"created_at": "2026-04-06T00:10:18.293516Z",
	"updated_at": "2026-04-10T13:11:46.795275Z",
	"deleted_at": null,
	"sha1_hash": "192f26f824e33d3c225d5cb4be5e03170afbe0e0",
	"title": "Lazarus 针对安全研究人员的攻击事件分析-安全KER - 安全资讯平台",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2457495,
	"plain_text": "Lazarus 针对安全研究人员的攻击事件分析-安全KER - 安全资讯平\r\n台\r\nArchived: 2026-04-05 18:32:01 UTC\r\n概述\r\n近日，Google 威胁分析组（TAG）披露了一起针对二进制漏洞安全研究人员的攻击活动，我们在此基础\r\n上对攻击活动中所涉及的样本进行了复盘分析，具体发现如下：\r\n1. 攻击者以安全研究人员的身份，至少从2020年4月份开始潜伏在 Twitter、LinkedIn、Telegram、\r\nDiscord、Keybase 等社交媒体，同时也会建立技术博客，发表一些漏洞分析的文章。攻击者所发表\r\n的文章有一定的质量，这在某种程度上增加了对目标安全研究人员的迷惑性。\r\n2. 攻击者与目标安全研究人员通过社交媒体建立联系后，开始进行社会工程学攻击，其会邀请目标进\r\n行漏洞研究方面的合作，向目标发送相关Visual Studio 项目，而该项目一旦编译则会触发执行恶意\r\n模块，最终被攻击者控制，具有很强的隐蔽性。\r\n3. 此外，据 Google 方面透漏，攻击者疑似在其博客中部署了 Chrome 浏览器 0day 漏洞，一旦目标使\r\n用 Chrome 浏览器访问其博客，将会触发漏洞而被黑客控制，目前这一说法还有待证实。\r\n4. 在此次攻击活动中，我们发现多例样本与去年朝鲜 APT 组织 Lazarus 进行的名为 “DreamJob” 的攻\r\n击活动中的样本有多处重叠之处，故将此攻击事件归因为 Lazarus APT 组织。\r\n5. 通过开源情报获悉，Lazarus 此次攻击目标涉及俄罗斯、美国、中国、泰国等10余个国家，通过 IP\r\n定位发现国内某安全公司在2020年12月期间有多次回连 C2 的记录。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 1 of 16\n\n6. 根据此次攻击活动目标，很容易让人联想到 Lazarus 实际目的可能为窃取安全研究人员手中的高价\r\n值 0Day 漏洞，用以扩充该组织军火库。\r\n7. 微步在线通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC，可用于威胁情报检测。微\r\n步在线威胁感知平台 TDP、威胁情报管理平台 TIP、威胁情报云 API、互联网安全接入 OneDNS 等\r\n均已支持对此次攻击事件和团伙的检测。\r\n事件详情\r\n攻击者在 Twitter 建立了多个安全研究相关账号，并在近一年保持活跃，通过此渠道发布博客链接，用以\r\n和目标安全研究人员建立初步联系。\r\n图片来源：https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/\r\n攻击者博客文章也确实为漏洞研究相关文章，这可以更好地与目标建立信任。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 2 of 16\n\n图片来源：https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/\r\n与目标用户建立社交联系之后，攻击者将会邀请目标进行漏洞研究，并向其发送漏洞相关 Visual Studio 项\r\n目文件。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 3 of 16\n\n图片来源：Twitter 用户 Richard Johnson\r\n从一些受害者的社交软件聊天记录截图可以发现，攻击者目标非常明确。如果目标不是漏洞研究相关人\r\n员，并不能引起攻击者的兴趣。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 4 of 16\n\n图片来源：Twitter 用户 heige\r\n样本分析\r\n攻击者在 VS 项目中添加了预生成事件，一旦用户编译项目，将会调用 powershell 检查主机系统是否为\r\nWin10 x64，满足条件后利用系统组件 rundll32 来执行恶意模块 Browse.VC.db 的导出函数\r\nENGINE_get_RAND，传入参数 6bt7cJNGEb3Bx9yK 2907。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 5 of 16\n\n而 Browse.VB.db，实际为 x64 DLL 文件，其伪装成 VS 项目数据库文件。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 6 of 16\n\n在模块导出函数 ENGINE_get_RAND 中，首先会判断传入参数的个数，如果不等于 2，将会退出木马流\r\n程。\r\n样本中的字符串使用 RC4 算法解密，使用的密钥为 {6B 49 A3 8D D8 DD 21 2B 38 59 BB BF 06 C0 33\r\nC2}。\r\n使用 RC4 解密出的部分配置信息字符串。\r\n样本将会以设置注册表启动项的方式来建立持久化机制。\r\n启动项名称：SSL Update\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 7 of 16\n\n启动路径：\r\nC:\\Windows\\System32\\rundll32.exe\r\nC:\\ProgramData\\VirtualBox\\update.bin,ASN2_TYPE_new 5I9YjCZ0xlV45Ui8 4222\r\n之后解密出 PE 模块，将其释放到主机目录 C:\\\\ProgramData\\\\VirtualBox\\\\update.bin，并通过系统组件\r\nrundll32.exe 调用执行，而 Update.bin 同样为 x64 DLL 模块，其名称伪装为 win32k.dll。\r\n该模块执行后会检查传入参数是否为 5I9YjCZ0xlV45Ui8，并以此名创建互斥体，防止木马重复运行。\r\n之后使用 RC4 解密出 PE 模块数据，并在内存中加载运行。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 8 of 16\n\n经过前面套娃式的流程，最终在内存中加载核心 PE 模块，在此模块中使用了不同的加密方案，使用\r\nOpenSSL 中的 evp 库进行加解密，使用的密钥为：5618198335124815612315615648487。\r\n模块中内置了3组用于木马通信的 URL，其中前两个为重复的，也就是实际为2组：\r\nhttps://codevexillium.org/image/download/download.asp\r\nhttps://angeldonationblog.com/image/upload/upload.php\r\n之后会随机生成字符串，和主机系统时间一并经过 Base64 编码以 POST 方法发送至上面的 C2 服务器。\r\n最后接收服务器返回数据，解密后在内存中加载执行恶意模块。\r\n此外，据 Google 方面透漏，攻击者疑似在其博客中部署了 Chrome 浏览器 0day 漏洞，一旦目标使用\r\nChrome 浏览器访问其博客，将会在用户主机注册表留下被加密的 payload，同时释放一个伪造为驱动文件\r\n的 DLL 文件并创建服务以建立持久化机制。\r\n该 DLL 模块启动之后，同样使用 RC4 解密字符串，从注册表中读取 payload 数据。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 9 of 16\n\npayload 长度：HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\KernelConfig\\SubVersion\r\n加密的数据：HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\KernelConfig\\Description\r\n之后将 payload 数据经过解密后在内存中加载执行，目前未能获取到 payload 数据。\r\n关联分析\r\n在 Lazarus 以往的攻击活动中，经常将恶意 DLL 模块伪装成 DB 文件来使用，比如在去年的 “DreamJob”\r\n攻击活动中将恶意模块伪装成 thumbnail.db。\r\n该组织还经常使用系统组件 rundll32 来调用恶意模块的导出函数，并传入参数执行。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 10 of 16\n\n在攻击样本中，我们可以看到保持了与之前攻击活动相同风格的 RC4 解密部分。\r\n同时，可发现攻击者使用了与之前完全相同的 RC4 密钥 { B6 B7 2D 8C 6B 5F 14 DF B1 38 A1 73 89 C1 D2\r\nC4}。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 11 of 16\n\n类似的随机生成字符串部分，主要区别为之前将此部分作为单独函数，而此次攻击活动中将此部分直接\r\n内联编译。\r\n基本一致的内存加载 PE 模块部分。\r\n在分析中，我们未能获取到 Google 提到的漏洞利用中的 payload 数据，但经过与 Lazarus 之前所使用的\r\nRAT 模块对比，发现启动参数完全一致，均为 “MICROSOFT”，故判断 Lazarus 在本次攻击活动中复用了\r\n之前所使用的 RAT 工具。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 12 of 16\n\n在之后持续追踪分析的感染数据中，我们发现已经有俄罗斯、美国、中国、泰国等10余个国家/地区的用\r\n户被成功入侵。国内有多家机构或个人主机被入侵，根据 IP 定位信息显示，受害者包括国内多家安全公\r\n司。\r\n攻击者在此次攻击活动中锁定二进制漏洞研究人员，很显然是为了窃取目标手中高价值 0day 漏洞资料，\r\n其在本次攻击活动中入侵了相当数量的用户，且已经使用了 0day 漏洞，推测攻击者已经成功窃取并掌握\r\n部分受害用户手中的高价值 0day 漏洞资料，可能会用于未来的攻击活动中，这尤其要引起企业及个人的\r\n重视。\r\n结论\r\nLazarus APT 组织是当前最活跃的 APT 组织之一，该组织在以往经常攻击金融、科研等机构。而在此次攻\r\n击活动中，Lazarus 首次针对安全研究人员进行定向攻击以窃取高价值 0day 漏洞资料，该组织长期觊觎此\r\n类高价值情报资料，这也表明该组织在不断扩充其军火库，以提升武器储备能力。\r\nLazarus 擅长使用社会工程学方案进行攻击，在去年就曾针对航空企业进行过以 “DreamJob” 为名义的攻击\r\n活动。在本次攻击活动中，Lazarus 组织在近一年的时间里展现了其极强的耐心以及行动保障能力，其将\r\n攻击目标瞄准安全研究人员也让威胁攻击与防御更加白热化，同时也会导致目标所属公司重要研究成果\r\n被窃取等严重危害，相关安全研究人员和机构尤其要提高警惕，微步在线情报局会对该组织攻击活动持\r\n续进行跟踪，及时发现安全威胁并快速响应处置。\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 13 of 16\n\n附录 – IOC\r\nC\u0026C\r\nC\u0026C（Compromised）\r\nC2URLs\r\nSHA256\r\n4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244\r\n68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7\r\n25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc\r\na75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855\r\na4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15\r\n攻击者博客\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 14 of 16\n\nTwitter账号\r\nhttps://twitter.com/br0vvnn\r\nhttps://twitter.com/BrownSec3Labs\r\nhttps://twitter.com/dev0exp\r\nhttps://twitter.com/djokovic808\r\nhttps://twitter.com/henya290\r\nhttps://twitter.com/james0x40\r\nhttps://twitter.com/m5t0r\r\nhttps://twitter.com/mvp4p3r\r\nhttps://twitter.com/tjrim91\r\nhttps://twitter.com/z0x55g\r\nLinkedIn账号\r\nhttps://www.linkedin.com/in/billy-brown-a6678b1b8/\r\nhttps://www.linkedin.com/in/guo-zhang-b152721bb/\r\nhttps://www.linkedin.com/in/hyungwoo-lee-6985501b9/\r\nhttps://www.linkedin.com/in/linshuang-li-aa696391bb/\r\nhttps://www.linkedin.com/in/rimmer-trajan-2806b21bb/\r\nKeybase\r\nhttps://keybase.io/zhangguo\r\nTelegram\r\nhttps://t.me/james50d\r\n注册表路径\r\nHKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\KernelConfig\r\nHKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\DriverConfig\r\nHKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\SSLUpdate\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 15 of 16\n\n文件路径\r\nC:\\Windows\\System32\\Nwsapagent.sys\r\nC:\\Windows\\System32\\helpsvc.sys\r\nC:\\ProgramData\\USOShared\\uso.bin\r\nC:\\ProgramData\\VMware\\vmnat-update.bin\r\nC:\\ProgramData\\VirtualBox\\update.bin\r\n参考链接\r\nhttps://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/\r\n关于微步情报局\r\n微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威\r\n胁情报自动化研发、高级APT组织\u0026黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应\r\n等。\r\nSource: https://www.anquanke.com/post/id/230161\r\nhttps://www.anquanke.com/post/id/230161\r\nPage 16 of 16",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.anquanke.com/post/id/230161"
	],
	"report_names": [
		"230161"
	],
	"threat_actors": [],
	"ts_created_at": 1775434218,
	"ts_updated_at": 1775826706,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/192f26f824e33d3c225d5cb4be5e03170afbe0e0.pdf",
		"text": "https://archive.orkl.eu/192f26f824e33d3c225d5cb4be5e03170afbe0e0.txt",
		"img": "https://archive.orkl.eu/192f26f824e33d3c225d5cb4be5e03170afbe0e0.jpg"
	}
}