疑似Lazarus针对双渠道的进犯活动发表

原标题：疑似Lazarus针对双渠道的进犯活动发表

归纳

Lazarus APT安排是一个长时刻活泼的安排，由于2014年进犯索尼影业而开端遭到广泛重视，该安排前期首要针对韩国，美国等国家的政府安排进行进犯活动，以盗取情报等信息为意图。自2014年后，该安排开端针对全球金融安排，加密买卖安排等为方针，进行敛财活动。

近期，奇安信要挟情报中心红雨滴团队在日常的APT样本追寻中，捕获一例运用心思检验为钓饵的Lazarus进犯样本，该样本经过宏开释powershell脚本履行,然后操控受害者核算机。奇安信要挟情报中心经过溯源相关，捕获另一例针对Macos的进犯样本，并在发现此次进犯活动的第一时刻经过社会化媒体进行预警。

样本剖析 钓饵文档 MD5 6850189bbf5191a76761ab20f7c630ef 作者 Windows User 修正时刻 2019:10:22 02:53:14

本次进犯活动进犯者运用心里检验相相关的内容为钓饵，诱导用户启用宏：

启用宏需点击笑脸，然后履行歹意宏代码：

之后将powershell代码写入到%temp%目录下并经过powershell.exe履行：

Powershell

开释的powershell脚本是一个后门，硬编码了三个c2：

履行后与内置的c2服务器进行通讯，若通讯失利，则休眠一段事情测验衔接其他c2：

从c2获取指令履行，依据不同的指令履行不同功用：

支撑的命功用如下表所示：

指令 功用 2 设置休眠时刻 3 完毕本进程 11 获取本机根本信息上传 12 查看歹意程序当时状况 14 显现当时歹意程序装备 15 更新歹意程序c2等装备 18 经过cmd履行指令 20 上传指定文件 21 下载文件保存到指定文件 24 履行指令

获取本机核算机名，ip地址，体系版本号等信息上传：

经过cmd履行c2指令：

更新c2服务器装备：

上传指定文件：

下载文件保存到指定方位：

Macos Backdoor

经相关剖析，奇安信要挟情报中心相关运用相同c2针对MacOS 渠道的进犯样本，样本根本信息如下：

文件名 Album.app.zip MD5 a8096ddf8758a79fdf68753190c6216a

该文件包含一个正常的.FlashPlayer文件，而歹意程序隐藏在Flash Player中：

运转后首先从偏移1340，截取巨细0x6c74的数据保存到.FlashUpdateCheck：

之后写入装备文件com.adobe.macromedia.flash.plist，并经过launchctl load加载装备文件，然后使装备文件收效完成.FlashUpdateCheck的自启动：

运用chmod指令提高.FlashUpdateCheck权限：

文件名 .FlashUpdateCheck MD5 bac54e7199bd85afa5493e36d3f193d2

该文件具有后门功用，功用与powershell后门根本共同。相同硬编码了三个c2：

运转后与c2通讯获取c2指令：

之后依据c2指令履行不同功用：

功用列表如下：

指令 功用 2 设置休眠时刻 3 完毕本进程 11 获取本机根本信息上传 12 查看歹意程序当时状况 14 显现当时歹意程序装备 15 更新歹意程序c2等装备 18 经过bash履行指令 19 履行其他指令 20 上传指定文件 21 下载文件 24 经过system履行 25 经过system履行 溯源相关

经过对本次进犯活动的后门以及ttps剖析，奇安信要挟情报中心判别本次进犯活动的暗地黑手是Lazarus。

类似的后门

Powershell根本共同：

Macos 样本首要流程根本共同：

且c2在奇安信要挟情报大数据渠道（ti.qianxin.com）已打上Lazarus标签：

综上，本次捕获的进犯样本应该是出自臭名远扬的Lazarus APT团伙。

总结

Lazarus 团伙是一个长时刻活泼的APT安排，武器库非常强壮，具有对多渠道进行进犯的才能，近年来，该团伙屡次被安全厂商发表，但从未中止进攻的脚本，反而越发活泼，进犯方针也越发广泛。一起，该团伙也屡次针对国内进行进犯活动，企业用户在日常的工作中，切勿随意翻开来历不明的邮件附件。

现在，根据奇安信要挟情报中心的要挟情报数据的全线产品，包含奇安信要挟情报渠道（TIP）、天擎、天眼高档要挟检测体系、奇安信NGSOC等，都现已支撑对此类进犯的准确检测。

IOC

6850189bbf5191a76761ab20f7c630ef

a8096ddf8758a79fdf68753190c6216a

hxxps://crabbedly.club/board.php

hxxps://craypot.live/board.php

htxxps://indagator.club/board.php

参阅链接：

https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/

*本文作者：奇安信要挟情报中心，转载请注明来自FreeBuf.COM

责任编辑：