{
	"id": "c3a42489-ce20-446d-98ac-1e53d6f53574",
	"created_at": "2026-04-06T02:11:39.586789Z",
	"updated_at": "2026-04-10T03:21:20.45476Z",
	"deleted_at": null,
	"sha1_hash": "e06352a05ce041d44a6b9fea29c261d11a8db344",
	"title": "Lazarus APT组织利用新冠疫情诱饵针对某国的定向攻击分析",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2891650,
	"plain_text": "Lazarus APT组织利用新冠疫情诱饵针对某国的定向攻击分析\r\nBy 奇安信威胁情报中心\r\nArchived: 2026-04-06 01:31:08 UTC\r\n背景\r\nLazarus是疑似具有东北亚背景的APT组织，因2014年攻击索尼影业开始受到广泛关注，其攻击活动最早\r\n可追溯到2007年，该组织早期主要针对其他国家政府机构，以窃取敏感情报为目的。但自2014年后，该\r\n组织开始针对全球金融机构 ，虚拟货币交易场等为目标，进行以敛财为目的的攻击活动。\r\n近日，奇安信威胁情报中心红雨滴团队在日常的异常样本监控过程中捕获到多例该团伙利用疫情为诱饵\r\n攻击周边国家的样本。定向攻击使用某国特有的HWP文档并伪装为韩国仁川疾控中心的邮件进行投递，\r\n具有极强的针对性。红雨滴团队在发现此次攻击活动的第一时间向安全社区进行预警。\r\nhttps://www.secrss.com/articles/18635\r\nPage 1 of 20\n\n样本分析\r\nHWP文档释放DLL后门的攻击样本\r\nhttps://www.secrss.com/articles/18635\r\nPage 2 of 20\n\n文件名 인천광역시 코로나바이러스 대응 긴급 조회 .hwp\r\nMD5 bc13fc599bb594bc19ac9e6fde0c28c6\r\n攻击者伪装为韩国仁川疾控中心发送了带有恶意HWP文档附件的定向攻击邮件：\r\nhttps://www.secrss.com/articles/18635\r\nPage 3 of 20\n\nhttps://www.secrss.com/articles/18635\r\nPage 4 of 20\n\n以疫情相关信息诱导受害者执行附件文档，附件文档名为：인천광역시 코로나바이러스대응 긴급 조\r\n회.hwp（仁川广域市紧急调查冠状病毒）。HWP文档打开后会展示疫情相关诱饵信息：\r\n通过hwpscan2工具打开文件，可见样本信息如下：\r\nhttps://www.secrss.com/articles/18635\r\nPage 5 of 20\n\n样本中包含Post Scrip脚本，执行文档后，该脚本将会释放到%temp%目录下，并通过HWP组件gbb.exe加\r\n载起来。HWP文件中的大部分流都是经过zlib raw deflate压缩存储的，EPS流也不例外。可以通过Python\r\n解压缩恶意HWP文件中的EPS流，最终提取的脚本信息如下：\r\nhttps://www.secrss.com/articles/18635\r\nPage 6 of 20\n\n脚本将执行image中定义的shellcode，多层解密后如下所示：\r\nhttps://www.secrss.com/articles/18635\r\nPage 7 of 20\n\n可见该脚本最终将执行PowerShell脚本，脚本将根据系统位数的差别从远程下载对应文件\r\n到%temp%skype.jpg，并利用regsvr32加载skype.jpg：\r\n文件名 Skype.exe\r\nMD5 e3ef607182564bb158287cafb7b11be7\r\n来源 http://teslacontrols.ir/wp-includes/images/detail31.jpg\r\n下载的文件是一个DLL文件,加载起来后首先动态获取API：\r\nhttps://www.secrss.com/articles/18635\r\nPage 8 of 20\n\n之后获取系统版本，并根据不同版本尝试打开对应文件，从而判断当前进程权限以及进程id是否相同：\r\nhttps://www.secrss.com/articles/18635\r\nPage 9 of 20\n\n若无法获取对应文件句柄或进程id不对应，则提升自身权限，并将自身注入到对应的文件中执行：\r\n满足条件后，检查运行环境，是否处于虚拟机中，若是虚拟机则退出程序：\r\nhttps://www.secrss.com/articles/18635\r\nPage 10 of 20\n\n检查是否处于被调试状态\r\n通过检查窗口名，检查是否存在IDA等相关分析工具：\r\nhttps://www.secrss.com/articles/18635\r\nPage 11 of 20\n\n之后获取计算机用户名，MAC地址等信息：\r\nhttps://www.secrss.com/articles/18635\r\nPage 12 of 20\n\n将获取的信息加密后与C2通信获取命令执行等相应功能：\r\n该样本具有下载执行、获取进程列表、上传文件、获取计算机信息等功能：\r\nhttps://www.secrss.com/articles/18635\r\nPage 13 of 20\n\nHWP文档释放EXE后门的攻击样本\r\n奇安信红雨滴团队还捕获了另外一起利用相同诱饵，相同手法的攻击样本\r\n文件名 전라남도 코로나바이러스 대응 긴급 조회.hwp\r\nMD5 8451be72b75a38516e7ba7972729909e\r\n该样本诱饵与之前的样本一样，执行后同样通过EPS脚本执行PowerShell从远程获取可执行文件执行：\r\nhttps://www.secrss.com/articles/18635\r\nPage 14 of 20\n\n远程获取的可执行文件信息如下：\r\n文件名 Svchost.exe\r\nMd5 fe2d05365f059d48fd972c79afeee682\r\n来源 http://www.sofa.rs/wp-content/themes/twentynineteen/sass/layout/h1.jpg\r\n该样本加入大量花指令，干扰分析：\r\nhttps://www.secrss.com/articles/18635\r\nPage 15 of 20\n\n样本会获取计算机MAC地址、硬盘ID等信息：\r\nhttps://www.secrss.com/articles/18635\r\nPage 16 of 20\n\n木马程序还会试着读取%AppData%\\\\Mircosoft\\\\Windows\\\\Winx\\\\config.txt中的文本，该文件会存放着加密\r\n后的URL地址：\r\n若该文件为空或不存在，则初始化C2并加密存入config.txt\r\n之后与C2通信获取指令执行：\r\nhttps://www.secrss.com/articles/18635\r\nPage 17 of 20\n\n该样本通过自定义功能几个类实现恶意功能，包括远程SHELL、获取文件信息、键盘记录、下载执行等\r\n功能：\r\nhttps://www.secrss.com/articles/18635\r\nPage 18 of 20\n\n总结\r\nLazarus 团伙是一个长期活跃的APT组织，其网络攻击武器库十分强大，拥有对多平台进行攻击的能力。\r\n近年来，该团伙多次被安全厂商披露，但从未停止进攻的脚步，反而越发活跃，攻击目标也越发广泛。\r\n同时，该团伙也多次针对中国国内进行攻击活动，所以企业用户在日常的工作中，切勿随意打开来历不\r\n明的邮件附件和链接。\r\n目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、\r\n天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。\r\nIOC\r\nMD5\r\n8451be72b75a38516e7ba7972729909e\r\nbc13fc599bb594bc19ac9e6fde0c28c6\r\n4662dfa19bd590b1088befa28426a161\r\nb5a31d89f5b83d37c921d159364c968c\r\ne6521be3b323865cf05f27d7c43aeff2\r\nURL\r\nhttp://www.sofa.rs/wp-content/themes/twentynineteen/sass/layout/h1.jpg\r\nhxxp://teslacontrols.ir/wp-includes/images/detail31.jpg\r\nhxxp://teslacontrols.ir/wp-includes/images/detail32.jpg\r\nhttp://www.kingsvc.cc/index.php\r\nhttp://www.sofa.rs/wp-admin/network/server_test.php\r\nhttps://www.secrss.com/articles/18635\r\nPage 19 of 20\n\nhttp://www.afuocolento.it/wp-admin/network/server_test.php\r\nhttp://www.mbrainingevents.com/wp-admin/network/server_test.php\r\n声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内\r\n参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。\r\nSource: https://www.secrss.com/articles/18635\r\nhttps://www.secrss.com/articles/18635\r\nPage 20 of 20",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.secrss.com/articles/18635"
	],
	"report_names": [
		"18635"
	],
	"threat_actors": [],
	"ts_created_at": 1775441499,
	"ts_updated_at": 1775791280,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e06352a05ce041d44a6b9fea29c261d11a8db344.pdf",
		"text": "https://archive.orkl.eu/e06352a05ce041d44a6b9fea29c261d11a8db344.txt",
		"img": "https://archive.orkl.eu/e06352a05ce041d44a6b9fea29c261d11a8db344.jpg"
	}
}