## Lazarus 组织疑似扩充军火库?黑手伸向 航空业及研究人员 文档版本 作者 日期 V1.0 逍遥二仙 2021 年12 月 # ThreatBook Labs 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) |文档版本|作者|日期| |---|---|---| |V1.0|逍遥二仙|2021 年12 月| ----- ### 目录 一、概述....................................................................................................................................................2 二、详情....................................................................................................................................................3 三、样本分析............................................................................................................................................4 3.1 伪装“洛克希德马丁”航空公司的招聘文档........................................................................4 3.2 伪装Google 公司的招聘文档.................................................................................................9 3.3 修改开源PDF 阅读器............................................................................................................12 3.4 针对安全研究人员的攻击活动..............................................................................................14 四、关联分析..........................................................................................................................................18 五、结论..................................................................................................................................................19 附录- IOC............................................................................................................................................. 19 附录-微步情报局................................................................................................................................... 20 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- ### 一、概述 Lazarus 组织是疑似具有国家背景的境外大型APT 集团组织,该组织擅长使用社会工 程学方案针对政府、科研、金融、航空、加密货币等机构进行定向攻击活动,窃取重要情报 信息及获取经济利益是其主要目的。 微步情报局近期通过威胁狩猎系统监测到Lazarus 组织针对航空业及安全研究人员的 定向攻击活动,分析有如下发现:  攻击者伪装美国“洛克希德马丁”航空公司招聘文档,向目标投递诱饵文档进行攻击;  所投递文档最终加载执行恶意后门模块,实现对目标主机的远程控制;  同时还使用相同的文档模板制作Google 公司的招聘诱饵文档进行攻击活动;  攻击者修改开源项目NppShell 开发木马,可以逃避部分安全软件检测;  Lazarus 复用以往攻击手法,修改开源SumatraPDF 阅读器进行攻击;  此外,该组织将恶意组件捆绑到IDA Pro 安装包程序针对安全研究人员进行攻击;  微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关IOC ,可用于威胁 情报检测。微步在线威胁感知平台TDP 、本地威胁情报管理平台TIP 、威胁情报云 API 、互联网安全接入服务OneDNS 、主机威胁检测与响应平台OneEDR 、威胁 捕捉与诱骗系统HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。 ### 二、详情 Lazarus 使用模板注入的手法精心伪造相关公司招聘文档,这在该组织以往的攻击活动 中经常出现,在此次攻击活动中,我们看到攻击者冒充美国“洛克希德马丁”航空公司及 Google 公司向目标发送相关诱饵文档。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- |Col1|Col2| |---|---| |伪装“洛克希德马丁”航空公司的诱饵招聘文档|伪装Google 公司的诱饵招聘文档| 图1. Lazarus 制作的诱饵文档 同期还修改开源PDF 阅读器,向目标发送钓鱼文档。 图2. Lazarus 修改的PDF 阅读器 此外,该组织还将恶意组件捆绑到IDA Pro 安装包程序,对安全研究人员进行定向攻击, 其主要目的可能为窃取安全研究人员手中的高价值0Day 漏洞,用以扩充该组织军火库。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- ### 三、样本分析 #### 3.1 伪装“洛克希德马丁”航空公司的招聘文档 相关样本以美国航空公司“洛克希德马丁”的职位描述信息为主题作为诱饵文档。 图3. 伪装航空公司的招聘文档 该样本使用模板注入的手法从远程服务器加载恶意模板文件。 URL:https://mantis.linkundlink.de/logs/officetemplate.php?templateID=3535 图4. 诱饵文档中的模板注入 分析该样本时,服务器已无法正常响应,但根据关联信息显示,最终应加载一个dll 后 门模块,该模块为经过开源项目Notepad++ 中的模块NppShell 修改而来,其恶意流程在 导出函数DllGetFirstChild 中。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图5. 后门模块的导出表 该模块运行必须传入带有NTPR 字样的命令行参数,进入执行流程后将会检查参数格 式并解密,实际执行时传入的参数为: NTPR P6k+pR6iIKwJpU6oR6ZilgKPL7IxsitJAnpIYSx2KldSSRFFyUIzTBVFAwgzBkI2PS/+EgASBik/Gg YBwBbRNy7pP+Xq4uTsxOXU6NPmudaEz7Xy5fLQica6yKHvtu2XkYmnhfeC/4ythf9I6UbAdvxvy1K2Um 5ppVrEQY9WiHdxKbolqiKgLMElwSiKJrcWrQ+cMpYy5cnc+s/hufap15LJmsVFwr7MlMWwiLCGgLZPr4u Sk5KIqZiadYGOlkS3cml1ZZdiZmyzZVpovmZiVlNPNXJsck4JXzpPIWw2YBcqCRMFCQJBDG4Ffchmxk L2fO8V0jbSTeko2u/BI9YA9zGpM6UWoiGsdaVdqAmmIpYHjzWyM7IOSQR6SGE4dilXB0lfRXtCOEwkR TAIMgYWNnsvVRJSEvQp/xryAdsW1Df76fjl3eIb7M7lIujH5vbW7c/e8tTy2on1uuGh+rbml5GJp4X3gv+Mr YXwSOFGzHbxb9BSwFLLaaJau0FNVoh3sim4JZYi1Cz1JZYohya0FpEP9TKZMpTJgvqn4e72sdefyZrF 4sI= 图6. 后门模块对命令行参数校验 对命令行参数解密出的C2 地址如下: https://mante.li/images/draw.php 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 之后收集包括主机网络环境、主机名、用户名、进程列表,使用RtlCompressBuffer 进行压缩。 图7. 后门模块收集的主机信息 以POST 方法将上述主机信息上传至C2 服务器,并接收返回数据。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图8. 从服务器下载数据 从返回的html 格式数据提取payload 数据。 图9. 提取payload 数据 经过异或解密,响应服务器远程指令。 0 内存加载执行PE 模块 1 下载执行exe 模块 2 下载执行dll 模块 3 内存中执行shellcode 图10. 响应服务器远程指令 在分析过程中发现另外一个同类样本,使用类似的诱饵文档 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) |0|内存加载执行PE 模块| |---|---| |1|下载执行exe 模块| |2|下载执行dll 模块| |3|内存中执行shellcode| ----- (ef2d3e488b781a7c6144afa8fc8ba2b6d085ca671100d04686097f3b4dd2ed42)加 载木马模块,其会连接一个内网地址进行模板加载。 URL:http://10.10.130.129:4080/down.php?id=2383 图11. 诱饵文档中加载模板 而释放的木马模块同样为使用开源项目NppShell 修改,在分析样本时,我们观察到样 本在VirusTotal 的检出率非常低,表示攻击者借用此种手法逃避了部分安全软件检测。 图12. 木马模块在VirtusTotal 的截图 #### 3.2 伪装Google 公司的招聘文档 分析过程中发现另外一个样本使用同上述诱饵文档类似的模板伪装Google 公司的招聘 文档。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图13. 伪装Google 的招聘文档 其同样使用模板注入的手法从服务器加载恶意模板文件,URL 中的 templateID 与上面样 本格式一致。 URL:https://www.canyonzcc.com/system/templates/template.php?templateID=1010 图14. 诱饵文档中的模板注入 分析该样本时服务器同样已无法正常响应,但关联信息显示,其最终加载执行了一个名 为“msxml3r.dll”的dll 模块,并调用其导出函数SHLocalServerDll。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图15. 木马模块的导出表 导出函数SHLocalServerDll 中,在内存中再次加载一份自身模块,并调用另外一个导 出函数MSXMLParser,之后使用异或算法解密出C2 地址:www.canyonzcc.com。 图16. 解密出C2 地址 接着每隔60 秒以POST 方法向服务器发送固定的参数page=admin&mode=product, 以请求下载数据。 图17. 与C2 服务器通信 所下载数据经过AES 算法解密后,响应服务器远程指令,并向服务器发送Success 或 Fail 的回显,远程指令格式如下: 1 进程列表 2/4 下载数据 3 内存加载执行PE 模块 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) |如下:|Col2| |---|---| |1|进程列表| |2/4|下载数据| |3|内存加载执行PE 模块| ----- 图18. 响应C2 服务器远程指令 #### 3.3 修改开源PDF 阅读器 此外,Lazarus 近期还通过修改开源项目SumatraPDF 阅读器进行攻击活动,这在 Lazarus 以往的攻击活动中出现过多次,以往攻击活动中通常附带一个诱饵pdf 文档,一旦 打开特定pdf 文档将会执行恶意行为,而本次所捕获样本直接将恶意代码写入到阅读器中。 图19. PDF 阅读器中的恶意流程入口 使用阅读器样本打开 pdf 文档后,判断文档 MD5 是否为 "a28a25fd2ab85a2fc69019412629e5c9",如果不是将不会进入恶意行为,目前暂无所对应 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 的pdf 文档信息。 图20. PDF 阅读器中检查特定文档MD5 如果是则会将a28a25fd2ab85a2fc69019412629e5c9 放入SESSID 字段,向服务器 发起HTTP GET 请求,目前服务器已无法响应。 URL:https://industryinfostructure.com/templates/pdfview.php 图21. 向C2 服务器通发起网络请求 之后接受服务器返回数据并解密,根据指令是否覆盖pdf 文件,再以NoSessions 向服 务器请求下载数据解密保存为临时文件,URL 同样为 https://industryinfostructure.com/templates/pdfview.php。 图22. 从C2 服务器下载执行模块 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 最后通过rundll32.exe 调用执行下载到的模块,传入参数如下: DllGetFirstChild NTPR P6k+pR6iIKwJpU6oR6ZilgKPL7IxsitJAnpIYSx2KldSSRFFyUIzTBVFAwgzBkI2P S/+EgASBik/GgYBwBbRNy7pP+Xq4uTsxOXU6NPmudaEz7Xy5fLQica6yKHvtu2XkYmnhfeC/4ythf9I6U bAdvxvy1K2Um5ppVrEQY9WiHdxKbolqiKgLMElwSiKJrcWrQ+cMpYy5cnc+s/hufap15LJmsVFwr7MlMW wiLCGgLZPr4uSk5KIqZiadYGOlkS3cml1ZZdiZmyzZVpovmZiVlNPNXJsck4JXzpPIWw2YBcqCRMFCQJ BDG4FfchmxkL2fO8V0jbSTeko2u/BI9YA9zGpM6UWoiGsdaVdqAmmIpYHjzWyM7IOSQR6SGE4dilXB0 lfRXtCOEwkRTAIMgYWNnsvVRJSEvQp/xryAdsW1Df76fjl3eIb7M7lIujH5vbW7c/e8tTy2on1uuGh+rbml5 GJp4X3gv+MrYXwSOFGzHbxb9BSwFLLaaJau0FNVoh3sim4JZYi1Cz1JZYohya0FpEP9TKZMpTJgvqn 4e72sdefyZrF4sI= 图23. 调用rundll32 执行恶意模块 虽然分析该样本时,服务器已无法正常响应,但根据所调用导出函数名称、命令行参数 均与上面所分析伪装航空公司相关样本一致,其后面执行流程应与上述一致,所使用C2 也 应一致,因此可判定应为同一组攻击人员。 #### 3.4 针对安全研究人员的攻击活动 近日,国外安全厂商ESET 披露了一起Lazarus 针对安全研究人员的投毒攻击事件, 攻击者将恶意组件捆绑到IDA Pro 安装包程序。IDA Pro 是 Hex-Rays 公司的旗舰产品, 意为交互式反汇编器专业版,是最流行的静态反编译软件之一,用户大多是安全研究人员, 部分用户由于正版售价昂贵而下载使用盗版程序,Lazarus 正是利用这一点,向目标安全研 究人员进行定向攻击,其主要目的可能为窃取安全研究人员手中的高价值0Day 漏洞,用以 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 扩充该组织军火库。 图24. 相关IDA 安装包启动界面 攻击者使用恶意的dll 替换了IDA Pro 安装包的内部组件win_fw.dll。 图25. 文件列表中的恶意模块 win_fw.dll 将会创建windows 计划任务,并启动另外一个恶意组件idahelper.dll。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图26. 恶意模块创建的任务计划 idahelper.dll 执 行 后 将 会 异 或 解 密 出 URL : https://www.devguardmap.org/board/board_read.asp?boardid=01。 图27. idahelper.dll 中解密出C2 地址 调用URLOpenBlockingStream 从服务器下载数据,并在内存中加载执行。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 图28. 从服务器下载恶意载荷 该样本所使用C2 服务器与该组织以往针对安全研究人员的攻击活动重叠 (https://blog.google/threat-analysis-group/update-campaign-targeting-security-resear chers),根据样本编译时间等关联信息显示,并非近期攻击活动。微步在线威胁情报可以 精准识别,第一时间为客户发现相关威胁并处置。 图29. C2 地址在微步在线X 社区的截图 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- ### 四、关联分析 Lazarus 擅长使用社会工程学方案对目标进行渗透攻击,在今年10 月份,该组织曾伪 装仁川国际机场求职信对航空业进行定向攻击活动,近期同样发现该组织针对航空业的攻击 活动,可见航空业是Lazarus 组织的长期攻击目标之一。 该组织经常使用模板注入的手法制作诱饵文档,在去年曾针对航空业进行过名为 “DreamJob”的攻击活动,当时同样以招聘为名义制作诱饵文档对目标进行社工攻击,与 上述攻击活动手法如出一辙,在样本层面业存在诸多关联之处,例如几乎相同的内存加载 PE 部分。 以往攻击活动 本次攻击活动样本 该组织擅长修改开源项目进行伪装攻击,在以往的攻击活动中曾多次修改开源项目 SumatraPDF 阅读器,对目标投放钓鱼文档,与本次攻击活动样本高度一致。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) |PE 部分。|Col2| |---|---| ||| |以往攻击活动|本次攻击活动样本| ----- |Col1|Col2| |---|---| |以往攻击活动中所修改的SumatraPDF 阅读器|本次攻击活动修改的SumatraPDF 阅读器| ### 五、结论 结合以上分析信息,可以发现航空业一直是Lazarus 组织的长期攻击目标之一,其惯用 社会工程学对目标进行攻击,以招聘名义向目标发送诱饵文档是其惯用的攻击手法之一,同 时该组织还会修改开源项目譬如PDF 阅读器以提升木马隐蔽性。此外该组织还会针对安全 研究人员进行定向攻击,这在APT 攻击活动中是比较少见的,微步情报局会对相关攻击活 动持续进行跟踪,及时发现安全威胁并快速响应处置。 ### 附录- IOC #### C2 mantis.linkundlink.de mante.li bmanal.com shopandtravelusa.com industryinfostructure.com www.canyonzcc.com www.devguardmap.org 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- #### URL https://mantis.linkundlink.de/logs/officetemplate.php?templateID=3535 https://mante.li/images/draw.php https://bmanal.com/images/draw.php https://shopandtravelusa.com/vendor/monolog/monolog/src/Monolog/monolog.php https://industryinfostructure.com/templates/worldgroup/view.php https://www.canyonzcc.com/system/templates/template.php?templateID=1010 https://www.canyonzcc.com/system/templates/down.php https://industryinfostructure.com/templates/pdfview.php https://www.devguardmap.org/board/board_read.asp?boardid=01 #### Hash 8562f6b2a95963f076f7bc6ff00401d96656eafda1cfad3af53b3e3b99ae6452 5924369d08855b0c1a9a6434a25e2b34149cfe08353c53fa1ad942ed0916e474 803dda6c8dc426f1005acdf765d9ef897dd502cd8a80632eef4738d1d7947269 9daa1e4de0046469a2e1e419383cf4a0e6f028f4b6d6ba4c2958e79272bf8185 41ee1b1a36577bfc36d2964cf031e0180a50d1171943c04fa3215768db0b028e fe80e890689b0911d2cd1c29196c1dad92183c40949fe6f8c39deec8e745de7f ### 附录-微步情报局 微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要 研究内容包括威胁情报自动化研发、高级APT 组织&黑产研究与追踪、恶意代码与自动化 分析技术、重大事件应急响应等。 微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安 全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系 统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每 天新增的百万级样本文件、千万级URL、PDNS、Whois 数据进行实时的自动化分析、同源 分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百 家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击 全国上百家手机行业相关企业的事件。 更多精彩内容,敬请关注“微步在线研究响应中心”微信公众号。 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) ----- 微步在线科技有限公司 [| www.threatbook.cn | 400-030-1051](http://www.threatbook.cn) -----