# 钱包黑洞:Lazarus 组织近期在加密货币方面的隐蔽攻击活动 **anquanke.com/post/id/223817** 阅读量 **224266 |** 发布时间:2020-11-27 10:00:36 ## 概述 Lazarus 组织是一个长期活跃的 APT 组织,因为 2014 年攻击索尼影业而开始受到广泛关注, 该组织早期主要针对韩国、日本、美国等国家的政府机构进行攻击活动,以窃取情报等信息为 目的。自 2014 年后,该组织开始将全球金融机构,加密交易机构等为目标,进行敛财活动。 今年 7 月,我们发布了一篇《泡菜的味道:Lazarus 组织在 MacOS 平台上的攻击活动分析》 揭露了 Lazarus 组织在 2019 下半年至 2020 上半年在加密货币方面的攻击活动。近期,通过 对该组织的持续监控,微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期 使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化。近期攻击活 动使用的攻击样本对加密货币的用户有针对性,而且更加隐蔽,不易被发现。 1. Lazarus 组织在加密货币方面的攻击活动持续活跃,使用的样本在不断演化中。 2. Lazarus 组织在 Windows 和 MacOS 平台上对加密货币方面的用户进行针对性的攻击, 而且更加隐蔽。 3. Lazarus 组织使用失陷机器作为临时 C&C 服务器来隐藏活动痕迹。 4. 微步在线通过对相关样本、IP 和域名的溯源分析,共提取 29 条相关 IOC,可用于威胁 情报检测。 ----- ## 详情 Lazarus Group 是一个网络犯罪组织,至少从 2009 年以来一直活跃,据报道是 2014 年 11 月 索尼影视娱乐的攻击主要主导者。 它发起了一个被称为“Operation Blockbuster”的网络攻击活 动。Lazarus Group 还发起了 Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul 和 Ten Days of /Rain 网络攻击活动。Lazarus 组织是一个长期活跃的 APT 组织, 因为 2014 年攻击索尼影业而开始受到广泛关注,该组织早期主要针对韩国、日本、美国等国 家的政府机构进行攻击活动,以窃取情报等信息为目的。自 2014 年后,该组织开始将全球金 融机构,加密交易机构等为目标,进行敛财活动。尤其是 2018 年以来,Lazarus 组织在 MacOS 平台上的攻击活动日渐活跃。该组织曾于 2018 年 8 月被曝光制作加密货币交易网站 “Celas LLC”,以推广交易软件为名推广恶意代码盗取密币,此后又不断被曝光使用相似手法 搭建了“Worldbit-bot”、“JMT Trading”、“Union Crypto Trader”等伪装平台,用于推广 Windows 和 macOS 两种平台下带有后门的交易软件,继续对加密货币生态相关公司发起定 向攻击。 微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近期使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化。近期攻击活动使用的攻击样本 在运行后会检查运行环境再释放恶意代码文件,恶意代码运行后会修改配置实现自启动,之后 连接 Lazarus 组织控制的失陷机器,接受攻击者的命令并进行下一阶段的攻击活动,对加密货 币的用户有针对性,而且更加隐蔽,不易被发现。 本文从下列角度对 Lazarus 组织近期在加密货币方面的攻击活动进行分析: 1. 攻击过程分析 2. MacOS 平台样本详细分析 3. Windows 平台样本详细分析 4. 加密网络流量特征 5. Lazarus 在加密货币方面攻击的 TTPs(MITRE ATT&CK Framework) ### 1. 攻击过程分析 分析近期 Lazarus 组织在加密货币方面的攻击活动,Lazarus 组织依旧采用钓鱼的手法,首先 制造虚假的加密货币交易网站,然后诱导用户下载含有恶意代码的加密货币交易客户端并安装 运行。通过对客户端的分析,我们发现其在杀毒引擎的检出率很低(图1),并且使用失陷网 站来作为 C&C 服务器,然后再进行下一阶段的攻击活动。相比于之前的攻击活动,近期的攻 击活动更有针对性,更加隐蔽,不易被发现。 以 esilet.com(Lazarus 组织制造的虚假加密货币交易网站)为例。搜索引擎的记录(图2) 的关键词 blockchain technology,Top Cryptocurrencies by Market 等均与加密货币相关。 esilet.com 页面上有多种加密货币交易价格等信息(图3)。该虚假加密货币交易网站的目标 是用户去下载攻击者精心制造的含有恶意代码的客户端 APP(图4)。 ----- 图 1 – 多款杀毒引擎的检出结果 图 2 – esilet.com的搜索引擎记录 ----- 图 3 – esilet.com的部分内容 图 4 – 含恶意代码的客户端下载页面 ### 2. MacOS 平台样本分析 以样本 MD5: 53d9af8829a9c7f6f177178885901c01(MacOS 版本)为例。该样本的主程序 /MacOS/Esilet 会加载运行 /Contents/Frameworks/Esilet Helper (Renderer) 应用,释放恶意 代码到 /var/folders/7d/7skpstwd7qnctfwpwp7225xw0000gn/T/Esilet-tmpg7lpp ,然后加载运 行 (/bin/sh -c) 该恶意程序 Esilet-tmpg7lpp。 ----- Esilet-tmpg7lpp 会在 /Library/LaunchDaemons/ 目录下添加配置文件,RunAtLoad 设为 true,来实现开机自启动。 Esilet-tmpg7lpp 连接到攻击者控制的失陷机器获取下一步指令,目前相关链接已无正常响 应。 ----- 解密 C&C 服务器返回指令的函数。 指令执行模块。 ----- 以 sub_100002920 函数为例,该函数具备的功能是运行命令 sh -c sw_vers 来收集设备信 息,然后返回给攻击者控制的失陷机器。 ----- sub_1000036A0 函数具备的功能是执行攻击者返回的 shell 命令。 ----- ### 3. Windows 平台样本分析 样本 MD5: 40858748e03a544f6b562a687777397a(Windows 版本)是 Lazarus 组织在 Windows 平台使用的组件,在函数 iAppleCloud 中使用反射式注入手法在内存中加载自身。 其使用字符串以加密形式存储,使用的时候动态解密,且使用的相关 API 也以动态获取形式使 用,首先创建一个挂起的系统进程 mspaint.exe。 ----- 然后将自身注入到 mspaint.exe 进程中执行。 成功注入执行后,首先将自身 dll 删除。 然后创建互斥体,确保只有一个木马实例运行。 收集主机信息,包括系统版本、系统架构、systeminfo、杀软信息、网卡信息、磁盘信息、进 程列表、CPU 信息的等等并加密。 ----- 尝试循环连接 5 个URL,将收集到的主机信息以 POST 方法发送至服务器,而这 5 个链接均 为 Lazarus 组织所控制的失陷机器,目前链接已无正常响应。 然后将服务器返回数据保存到指定目录下,并为其创建进程执行。 ----- ### 4. 加密网络流量的特征 5. MITRE ATT&CK Framework (Lazarus, TTPs) ----- ## 结论 Lazarus 组织在加密货币方面的攻击虽然已被曝光多次,但是相关攻击活动依旧持续活跃。通 过对该组织的持续监控,微步情报局通过威胁狩猎系统捕获到 Lazarus 组织在加密货币方面近 期使用的样本,包含 Windows 和 MacOS 平台的版本,与之前的样本有显著变化,对加密货 币的用户更有针对性,更加隐蔽,不易被发现。 为了保护系统免受此类威胁,用户应仅从官方和合法市场下载应用程序,不打开和安装未知来 源的程序。对于此类伪装为加密货币交易平台来传播木马的攻击手法,加密货币公司及相关从 业人员应该提高警惕。 ## 附录 – IOC ### Hash SHA256 25bed4be8c78f9728ad9b6cc86a38ee95bdf8d91e2635a0cf785bc603140163c ec84802bb2bb33c52c1f02e7a7b74c6ea6247611c410bf386a95dc1eb45e2347 9ba02f8a985ec1a99ab7b78fa678f26c0273d91ae7cbe45b814e6775ec477598 dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156 ----- ee72f31f961f8fb703d6613686d7ba4370dfee10e78591c506b84d087d025b77 917b4075b47f5e8004cc6915bb5481080ef77bb048a0139aefdf4990e5ef9c50 08051b859367ab3c85522dd751755ee881464afa2fd89a955c2c8aad49d1e81c c97bce0037078a7fc7738087fd12b7052e2cdb2bfdb6e3509d0a84adea81a16e ### C2 torrytrade.com skord.me dorusio.com esilet.com ### URL https://admforte.com.br/wp-content/plugins/top.php https://shahrtdc.com/wp-content/plugins/top.php [https://justholdfast.com/doodle/wp-content/plugins/top.php](https://justholdfast.com/doodle/wp-content/plugins/top.php) https://infodigitalnew.com/wp-content/plugins/top.php https://sche-eg.org/plugins/top.php https://www.vinoymas.ch/wp-content/plugins/top.php [http://torrytrade.com/info.php?truefalsefalse](http://torrytrade.com/info.php?truefalsefalse) [http://torrytrade.com/info.php?04](https://www.virustotal.com/gui/search/http:/torrytrade.com/info.php?04) http://drei-schneeballen.de/wp-content/plugins/nextgen-gallery/view.php https://qwerty.creativehonduras.com/wp-includes/class-wp-redirect.php http://www.urbankizomba.se/wp-content/plugins/photo-gallery/filemanager/upload.php http://tag-cloud-photo.freeware.filetransit.com/login.php http://funny-pictures.picphotos.net/saint-louis-senior-photos-senior-pictures-seniors-st-louisst-louis/upload.php https://www.charcuterie-a-la-ferme.com/wp-content/plugins/ckeditor-forwordpress/ckeditor/plugins/image/images/get php?ts=5F7912FF D899390 ----- http://tipslonim.by/wp-content/plugins/ckeditor-forwordpress/ckeditor/plugins/image/every.php?ts=5F7912B0_103BAC80 http://nurture.com.sg/wp-content/plugins/ckeditor-forwordpress/ckeditor/plugins/image/upgrade.php?ts=5F791207_1ABFC40 https://australia-express.com/wp-includes/image-list.php?ts=5F79125F_1E22F78B ### 关于微步情报局 微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内 容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、 重大事件应急响应等。 [加密货币](https://www.anquanke.com/tag/%E5%8A%A0%E5%AF%86%E8%B4%A7%E5%B8%81) [Lazarus](https://www.anquanke.com/tag/Lazarus) |发表评论 |评论列表 加载更多 -----