作者：深信服千里目安全实验室
原文链接：https://mp.weixin.qq.com/s/y-SHoh9f5qwAwqml3uf8vw

【事件背景】

近期深信服安全团队捕获到了Lazarus组织针对加密货币相关行业的社工攻击活动，该组织在寻找到攻击目标信息后，疑似通过即时通讯软件主动和目标取得联系，并发送修改过的开源PDF软件(Secure PDF Viewer.exe)和携带加密payload的恶意PDF文件(Android Hardware Wallet.pdf)。单独打开”Secure PDF Viewer.exe”无恶意行为，”Android Hardware Wallet.pdf”无法用常规软件打开，所以该组织会利用社工的方式，诱使攻击目标使用exe文件查看pdf文件，最终解密出后台恶意程序执行，达到远控和窃取信息的目的。

对比了2021年初Google披露的Lazarus组织针对安全研究人员的攻击活动，发现本次活动有以下特征：

(1) 对加密货币相关目标发起攻击，符合Lazarus组织的一贯的“搞钱”目标;

(2) 本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致，都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”;

(3) C2格式与2021年初披露的C2格式一致, 形如“image/upload/upload.asp”;

攻击流程如下：

【详细分析】

诱饵pdf文件Android Hardware Wallet.pdf打开后内容如下，可根据内容和文件名判断为针对加密货币行业的攻击活动

其社工攻击发送文件如下，其中”Secure PDF Viewer.exe”为为攻击者修改过的PDF开源软件，”Android Hardware Wallet.pdf” 为恶意PDF文件

“Secure PDF Viewer.exe”其在文件处理逻辑部分加入了恶意代码，用于解密与执行恶意文档中的第一阶段payload

首先，创建“C:\Programdata\WindowsUpdate”路径，并且读取打开文档最后4个字节数据是否存在标记0x78563412，如果存在该标记则该文档为恶意文档

读取恶意文档尾部0x208字节数据，并且使用xor解密（xor解密秘钥为0xE4）出相关数据data1

解密出的数据data1如下图，解密出的数据为第一阶段payload的相关执行参数，分别为函数名、16字节校验数据以及未知数字

该文件读取诱饵pdf文件大小，并解密该诱饵文件释放到“%appdata%”下同名文件

接着会解密第二阶段payload数据，将第二阶段payload数据写入文件C:\ProgramData\WindowsUpdate\MSCache.cpl并通过rundll32.exe调用执行

其释放的第二阶段payload相关信息如下

其原名为CAST.dll最终会调用CAST_encryptW导出函数执行后续动作。

接着内存加密第三阶段payload数据，并在内存展开并执行

其第三阶段payload相关信息如下

第三阶段payload为一个下载器，首先会初始化相关网络请求数据

接着尝试向C2下载第四阶段payload并反射执行，目前C2已经无法通信，无法获取第四阶段payload数据

【溯源关联】

本次出现的组件其执行与加载方式与2021年初披露Lazarus组织组件加载方式一致，都是”rundll32.exe 文件名 函数名 16字节校验数据 4位未知数字”

其C2格式与2021年初披露的C2格式一致，形如”image/upload/upload.asp”

基于攻击目标和技术特征多种关联结果，确定本次攻击事件其相关组织为Lazarus组织。

【IOC】

【参考链接】

【2021年谷歌年初披露的Lazarus报告】
【深信服2021年年初披露的Lazarus分析报告】

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1719/