疑似Lazarus针对双平台的攻击活动披露-安全客

概述

Lazarus APT组织是一个长期活跃的组织，因为2014年攻击索尼影业而开始受到广泛关注，该组织早期主要针对韩国，美国等国家的政府机构进行攻击活动，以窃取情报等信息为目的。自2014年后，该组织开始针对全球金融机构，加密交易机构等为目标，进行敛财活动。

近期，奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中，捕获一例利用心理测验为诱饵的Lazarus攻击样本，该样本通过宏释放PowerShell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联，捕获另一例针对macOS的攻击样本，并在发现此次攻击活动的第一时间通过社交媒体进行预警。

样本分析

奇安信威胁情报中心红雨滴团队通过捕获到的针对Windows平台的恶意宏文档进行详细分析，并关联到该组织针对macOS平台攻击的恶意样本，针对这两个平台的样本详细分析如下。

诱饵文档

MD5	6850189bbf5191a76761ab20f7c630ef
作者	Windows User
修改时间	2019:10:22 02:53:14

本次攻击活动攻击者使用心里测验相关内容为诱饵，诱导用户启用宏：

启用宏需要点击文档中的笑脸图标，从而执行恶意宏代码：

恶意宏代码执行后会将恶意PowerShell代码写入到%temp%目录下并通过PowerShell.exe执行：

PowerShell脚本分析

释放的PowerShell脚本是一个后门，硬编码了三个C2地址：

执行后与内置的C2服务器进行通信，若通信失败，则休眠一段时间尝试连接其他C2地址：

最后从C2获取命令执行，根据不同的命令执行不同功能：

其支持的后门命功能如下表所示：

命令ID	功能
2	设置休眠时间
3	结束本进程
11	获取本机基本信息上传
12	检查恶意程序当前状态
14	显示当前恶意程序配置
15	更新恶意程序C2等配置
18	通过cmd执行命令
20	上传指定文件
21	下载文件保存到指定文件
24	执行命令

部分恶意功能代码对应如下：

获取本机计算机名、IP地址、系统版本号等信息并上传：

通过CMD执行C2下发的命令：

更新C2服务器配置信息：

上传指定的文件：

下载文件保存到指定位置：

macOS Backdoor分析

经过关联分析，奇安信威胁情报中心关联到使用相同C2且针对macOS平台的攻击样本，样本基本信息如下：

文件名	Album.app.zip
MD5	a8096ddf8758a79fdf68753190c6216a

样本解压后是macOS上的app应用程序，目录结构如下：

当点击启动app应用程序时，系统会从info.plist中获取应用信息。info.plist文件包括图标，可执行二进制文件名称，加载界面文件等对应用程序的基本描述。该恶意Flash Player通过info.plist执行起来：

Flash Player运行后首先从自身偏移0x1340，截取大小0x6c74的数据保存到.FlashUpdateCheck：

之后写入配置文件com.adobe.macromedia.flash.plis，并通过launchctl load加载配置文件，从而使配置文件生效并实现.FlashUpdateCheck的自启动：

接着使用chmod命令提升.FlashUpdateCheck权限：

.FlashUpdateCheck文件相关信息如下：

文件名	.FlashUpdateCheck
MD5	bac54e7199bd85afa5493e36d3f193d2

该文件具有后门功能，功能与前述PowerShell后门基本一致，且同样硬编码了三个C2地址：

其运行后会与C2通信获取需要执行的指令：

之后根据C2指令执行不同的恶意功能：

对应的功能列表如下：

命令ID	功能
2	设置休眠时间
3	结束本进程
11	获取本机基本信息上传
12	检查恶意程序当前状态
14	显示当前恶意程序配置
15	更新恶意程序C2等配置
18	通过bash执行命令
19	执行其他命令
20	上传指定文件
21	下载文件
24	通过system执行
25	通过system执行