
-
攻击者以“仁川国际机场求职信”等为主题向目标投递诱饵文档进行鱼叉攻击;
-
所投递文档为使用漏洞 CVE-2017-11882 的 RTF 文档;
-
漏洞触发之后将会从 C2 服务器下载执行下阶段恶意载荷,最终实现远程控制;
-
通过关联分析,发现攻击者复用了以往的攻击手法及网络资产,在近期策划了疑似针对韩国航空公司“仁川国际机场”的定向攻击活动;
-
微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
-
利用内部安全设备直接进行阻断,具体资产请回复关键词“882”获取。
攻击者所发送的诱饵文档为 RTF 类型文档,均利用漏洞 CVE-2017-11882 进行攻击,漏洞触发后将会在内存中执行 payload,从服务器下载下阶段模块执行,最终实现远程控制。

利用内部安全设备直接进行阻断,具体资产请参见附录。
注入的 payload 共分为两段,第一段为执行代码,第二段为配置数据,紧跟在执行代码后面。下图即为配置数据片段,其中包含 C2 地址等配置信息。

随后检查系统架构类型,根据x86或x64连接不同的 URL:
x86:https://gozdeelektronik.net/wp-content/themes/0111/movie.png
x64:https://gozdeelektronik.net/wp-content/themes/0111/movie.jpg
从服务器下载数据。

下载成功后进行异或解密,截止分析时,服务器已无法正常响应。

最后检查解密后的数据是否是 PE 文件数据,并在内存中加载执行。

利用内部安全设备直接进行阻断,具体资产请参见附录。
攻击者所使用的 C2 地址早在2019年就已经被批露过(https://blog.alyac.co.kr/2377?category=957259),当时攻击目标为加密货币机构,且其使用的 URL 格式与本次发现的完全一致。
所使用 C2 地址可能在2020年到期后被重新注册,分析到这里时,不排除样本为以往攻击活动样本的可能性。

但继续关联分析后,发现有另外一个名为 “test.hwp“ 的攻击样本(2bfdfc2d3e8e8ec96c0426f932be22562d6d78b99de2ef6dd91aef58184419e3)使用了同样的 C2,该样本于2021年10月5日首次上传到VirusTotal。

此样本为 HWP 文档格式,主题为 “COVID-19 紧急灾害基金“申请表。

与以往攻击活动类似(https://blog.alyac.co.kr/2377?category=957259),其甚至使用了相同的密钥{D07F2B6A91605BA7BA8C259D1CDE0A9B}进行 payload 解密,该样本使用的 C2 服务器同样为 gozdeelektronik.net,可以判定与以上样本为同一攻击者所有。

在韩国相关网站查询相关信息(https://news.seoul.go.kr/welfare/archives/534906),可以看到 “COVID-19 紧急灾害基金“为韩国政府近期政策,其申请时间为2021.09.06~10.29。以此 HWP 文档样本信息来看,此次所发现的样本应为攻击者近期所使用的攻击样本。

从以上信息可以看到,虽然攻击者使用了以往的攻击手法以及网络资产,但其应在近期策划了疑似针对韩国航空公司“仁川国际机场”的攻击活动,从样本层面和执行流程上看,均与 Lazarus 过往攻击活动高度吻合;从过往攻击目标看,该组织亦长期针对航空业公司进行攻击活动,故判断 Lazarus 复用了以往的攻击手法及网络资产,近期疑似针对韩国航空业进行定向攻击活动。
公众号内回复“882”,可获取完整版(含IOC) PDF 版报告
关于微步在线研究响应团队
内容转载与引用
第一时间为您推送最新的威胁情报哦
最新评论
Thanks for your blog, nice to read. Do not stop.
1
1
你图片显示不了
你的网站怎么注册啊