欢迎光临
我们一直在努力

Lazarus又作妖,近期疑似利用漏洞文档针对韩国航空业展开定向攻击


1
概述
Lazarus 是来自境外的大型 APT 组织,该组织常年持续针对政府、科研、金融、航天、加密货币等机构进行定向攻击活动,其主要目的为窃取重要情报信息及获取经济利益,该组织经常以各种社会工程学方法对目标进行渗透攻击。
微步情报局近期通过威胁狩猎系统监测到疑似 Lazarus 组织针对航空业的定向攻击活动,分析有如下发现:
  • 攻击者以“仁川国际机场求职信”等为主题向目标投递诱饵文档进行鱼叉攻击;

  • 所投递文档为使用漏洞 CVE-2017-11882 的 RTF 文档;

  • 漏洞触发之后将会从 C2 服务器下载执行下阶段恶意载荷,最终实现远程控制;

  • 通过关联分析,发现攻击者复用了以往的攻击手法及网络资产,在近期策划了疑似针对韩国航空公司“仁川国际机场”的定向攻击活动;

  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

  •  利用内部安全设备直接进行阻断,具体资产请回复关键词“882”获取。

2
详情
攻击者向目标发送精心构造的求职信诱饵文档,其中有诱饵文档以“仁川国际机场公司求职信“为主题,疑似针对韩国航空公司”仁川国际机场公司“的定向攻击活动,下图为诱饵文档示例:

攻击者所发送的诱饵文档为 RTF 类型文档,均利用漏洞 CVE-2017-11882 进行攻击,漏洞触发后将会在内存中执行 payload,从服务器下载下阶段模块执行,最终实现远程控制。

利用内部安全设备直接进行阻断,具体资产请参见附录。

3
样本分析
诱饵文档漏洞触发之后将会在 shellcode 中寻找系统进程 explorer.exe,并将所携带 payload 注入执行。

注入的 payload 共分为两段,第一段为执行代码,第二段为配置数据,紧跟在执行代码后面。下图即为配置数据片段,其中包含 C2 地址等配置信息。

随后检查系统架构类型,根据x86或x64连接不同的 URL:

x86:https://gozdeelektronik.net/wp-content/themes/0111/movie.png

x64:https://gozdeelektronik.net/wp-content/themes/0111/movie.jpg 

从服务器下载数据。

下载成功后进行异或解密,截止分析时,服务器已无法正常响应。

最后检查解密后的数据是否是 PE 文件数据,并在内存中加载执行。

利用内部安全设备直接进行阻断,具体资产请参见附录。

4
关联分析

攻击者所使用的 C2 地址早在2019年就已经被批露过(https://blog.alyac.co.kr/2377?category=957259),当时攻击目标为加密货币机构,且其使用的 URL 格式与本次发现的完全一致。

所使用 C2 地址可能在2020年到期后被重新注册,分析到这里时,不排除样本为以往攻击活动样本的可能性。

但继续关联分析后,发现有另外一个名为 “test.hwp“ 的攻击样本(2bfdfc2d3e8e8ec96c0426f932be22562d6d78b99de2ef6dd91aef58184419e3)使用了同样的 C2,该样本于2021年10月5日首次上传到VirusTotal。 

此样本为 HWP 文档格式,主题为 “COVID-19 紧急灾害基金“申请表。

与以往攻击活动类似(https://blog.alyac.co.kr/2377?category=957259),其甚至使用了相同的密钥{D07F2B6A91605BA7BA8C259D1CDE0A9B}进行 payload 解密,该样本使用的 C2 服务器同样为 gozdeelektronik.net,可以判定与以上样本为同一攻击者所有。

在韩国相关网站查询相关信息(https://news.seoul.go.kr/welfare/archives/534906),可以看到 “COVID-19 紧急灾害基金“为韩国政府近期政策,其申请时间为2021.09.06~10.29。以此 HWP 文档样本信息来看,此次所发现的样本应为攻击者近期所使用的攻击样本。


从以上信息可以看到,虽然攻击者使用了以往的攻击手法以及网络资产,但其应在近期策划了疑似针对韩国航空公司“仁川国际机场”的攻击活动,从样本层面和执行流程上看,均与 Lazarus 过往攻击活动高度吻合;从过往攻击目标看,该组织亦长期针对航空业公司进行攻击活动,故判断 Lazarus 复用了以往的攻击手法及网络资产,近期疑似针对韩国航空业进行定向攻击活动。

– END –

公众号内回复“882”,可获取完整版(含IOC) PDF 版报告


关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
点击下方名片,关注我们

第一时间为您推送最新的威胁情报

赞(0) 打赏
未经允许不得转载:黑客技术网 » Lazarus又作妖,近期疑似利用漏洞文档针对韩国航空业展开定向攻击
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏