原文地址：https://mp.weixin.qq.com/s/MB39f7L1uD2C3ubYvH4cVw

作者：?紅雨滴團(tuán)隊(duì)?虎符智庫

本文?2751字???閱讀約需?8鐘

國家級(jí)APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）組織是有國家背景支持的頂尖黑客團(tuán)伙，專注于針對特定目標(biāo)進(jìn)行長期的持續(xù)性網(wǎng)絡(luò)攻擊。

奇安信旗下的高級(jí)威脅研究團(tuán)隊(duì)紅雨滴（RedDrip Team）每年會(huì)發(fā)布全球APT年報(bào)【1】、中報(bào)，對當(dāng)年各大APT團(tuán)伙的活動(dòng)進(jìn)行分析總結(jié)。

虎符智庫特約奇安信集團(tuán)旗下紅雨滴團(tuán)隊(duì)，開設(shè)“起底國家級(jí)APT組織”欄目，逐個(gè)起底全球各地區(qū)活躍的主要APT組織。

01

Lazarus Group

?Lazarus Group又名HIDDEN COBRA、Zinc、APT-C-26、Guardians of Peace等稱號(hào)，是東亞地區(qū)某國最活躍的APT組織之一。

其攻擊目的主要以竊取資金為主，堪稱全球金融機(jī)構(gòu)的最大威脅。

背景?

Lazarus Group又名HIDDEN COBRA（美國情報(bào)界命名） 、Zinc、APT-C-26、Guardians of Peace等稱號(hào)，是東亞地區(qū)某國最活躍的APT組織之一，得到該國情報(bào)部門的大力支持。

自2009年以來，被歸因于該組織的攻擊事件數(shù)量迅速增長。特別在2017年后，Lazarus Group加大了攻擊行動(dòng)力度，組織了多起影響重大的攻擊事件，例如對波蘭和墨西哥銀行的攻擊、WannaCry病毒爆發(fā)以及針對美國承包商的魚叉式網(wǎng)絡(luò)釣魚行動(dòng)等。

Lazarus攻擊目的主要以竊取資金為主，針對銀行、比特幣交易所等金融機(jī)構(gòu)及個(gè)人實(shí)施定向攻擊，堪稱全球金融機(jī)構(gòu)的最大威脅。其次，Lazarus還針對航空航天、工程、技術(shù)、政府、媒體、等機(jī)構(gòu)及企業(yè)進(jìn)行滲透，達(dá)到竊取重要資料及破壞勒索的目的。

攻擊特點(diǎn)手段、工具?

Lazarus早期多利用僵尸網(wǎng)絡(luò)對目標(biāo)進(jìn)行DDos攻擊；中后期主要攻擊手段轉(zhuǎn)為魚叉攻擊、水坑攻擊、供應(yīng)鏈攻擊等手法，還針對不同人員采取定向社會(huì)工程學(xué)攻擊。

Lazarus組織的攻擊主要有以下特點(diǎn)：

• 攻擊周期普遍較長，通常進(jìn)行較長時(shí)間潛伏，并換不同方法誘使目標(biāo)被入侵。

• 投遞的誘餌文件具有極強(qiáng)的迷惑性和誘惑性，導(dǎo)致目標(biāo)無法甄別。

• 攻擊過程會(huì)利用系統(tǒng)破壞或勒索應(yīng)用干擾事件的分析。

• 利用SMB協(xié)議漏洞或相關(guān)蠕蟲工具實(shí)現(xiàn)橫向移動(dòng)和載荷投放。

• 每次攻擊使用工具集的源代碼都會(huì)修改，并且網(wǎng)安公司披露后也會(huì)及時(shí)修改源代碼。

（一）攻擊手段

1. 魚叉攻擊

通常以郵件夾帶惡意文檔作為誘餌，常見文件格式為DOCX，后期增加了BMP格式。入侵方式主要利用惡意宏與Office常見漏洞、0day漏洞、植入RAT的手法。

2. 水坑攻擊

Lazarus通常針對貧窮的或欠發(fā)達(dá)地區(qū)的小規(guī)模銀行金融機(jī)構(gòu)使用水坑攻擊，這樣就可以在短時(shí)間內(nèi)大范圍盜取資金。

2017年，Lazarus對波蘭金融監(jiān)管機(jī)構(gòu)發(fā)動(dòng)水坑攻擊，在網(wǎng)站官方網(wǎng)站植入惡意的JavaScript漏洞，導(dǎo)致波蘭多家銀行被植入惡意程式。此次攻擊感染了 31 個(gè)國家的 104 個(gè)組織，大多數(shù)目標(biāo)是位于波蘭、智利、美國、墨西哥和巴西的金融機(jī)構(gòu)。

3. 社工攻擊

Lazarus擅長將社工技術(shù)運(yùn)用到攻擊周期中，無論是投遞的誘餌還是身份偽裝，都令受害者無法甄別，從而掉入它的陷阱中。

2020年期間，Lazarus在領(lǐng)英網(wǎng)站偽裝招聘加密貨幣工作人員并發(fā)送惡意文檔，旨在獲取憑證從而盜取目標(biāo)加密貨幣。

2021年，Lazarus Gourp以網(wǎng)絡(luò)安全人員身份潛伏在Twitter中，伺機(jī)發(fā)送嵌有惡意代碼的工程文件攻擊同行人員。從這些案例可以看出，Lazarus針對的目標(biāo)越來越明確，使用手法也越來越靈活直接。

（二）攻擊使用工具及技術(shù)特征

Lazarus使用的網(wǎng)絡(luò)武器中包含大量定制工具，并且使用代碼有很多相似之處。肯定地說，這些軟件來自相同的開發(fā)人員，可以說明Lazarus背后有穩(wěn)定的大型開發(fā)團(tuán)隊(duì)。

Lazarus擁有的攻擊能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware，使用的惡意代碼包括Destover、Duuzer和 Hangman等。

通過分析攻擊案例可以看出Lazarus攻擊的技術(shù)特征：

1. 擅長使用多種加密算法，包括RC4，AES， Spritz等標(biāo)準(zhǔn)算法，也使用XOR及自定義字符變換算法。

2. 主要使用虛假構(gòu)造的TLS協(xié)議，通過在SNI record中寫入白域名來Bypass IDS，也使用IRC、HTTP協(xié)議。

3. 通過破壞MBR、分區(qū)表或者向扇區(qū)寫入垃圾數(shù)據(jù)從而破壞系統(tǒng)。

4. 其工具包許多組件都包括自刪除腳本

5. TCP后門支持?jǐn)?shù)十個(gè)命令

?知名攻擊事件

（一）特洛伊和黑暗首爾行動(dòng)

2009年至2012年，Lazarus Group針對韓國武裝部隊(duì)和政府展開長期網(wǎng)絡(luò)間諜行動(dòng)，此活動(dòng)后被命名為“特洛伊行動(dòng)”【2】。2013年，Lazarus Group對韓國金融行業(yè)開展第二次攻擊，后被稱為“黑暗首爾行動(dòng)”【3】。這兩次活動(dòng)的披露使得Lazarus Group首次成為公眾關(guān)注的焦點(diǎn)。這些活動(dòng)使用的惡意軟類似于 Win32/Spy.Keydoor 或者Win64/Spy.Keydoor.。

（二）索尼公司攻擊事件

2014，索尼影視娛樂公司宣布上映《刺殺金某某》電影，引起該國強(qiáng)烈不滿。隨后，Lazarus Group入侵索尼，進(jìn)行了報(bào)復(fù)式的破壞，許多內(nèi)部文件和文件被竊取、泄露或刪除【4】。隨后的兩年，多家安全公司參與調(diào)查，最終通過Lazarus使用過的自刪除文件、TCP后門中的格式字符串、動(dòng)態(tài)API加載例程、混淆函數(shù)名和使用虛假TLS通信等一系列證據(jù)，將此前很多起攻擊事件與索尼攻擊事件一起歸因至Lazarus。

（三）SWIFT系統(tǒng)盜取美金

2016年，Lazarus Group通過Alreay攻擊組件，篡改SWIFT軟件，使得其能夠操作銀行賬號(hào)任意進(jìn)行轉(zhuǎn)賬，竊取孟加拉央行8100萬美元【5】。此次攻擊使用的自清除文件與攻擊索尼公司的文件相似，因此歸因于Lazarus。此外，這次攻擊的流程與早年間越南、厄瓜多爾等多國銀行被盜事件攻擊流程相似，也同樣歸因于Lazarus。

（四）Wannacry席卷全球

2017年5月，勒索病毒“WannaCry”感染事件爆發(fā)，全球范圍近百個(gè)國家遭到大規(guī)模網(wǎng)絡(luò)攻擊【6】，Lazarus利用NSA泄露“永恒之藍(lán)”漏洞散播勒索病毒“WannaCry”，導(dǎo)致目標(biāo)電腦中大量文件被加密，并被要求支付比特幣以解密文件。谷歌團(tuán)隊(duì)在WannaCry代碼中發(fā)現(xiàn)了來自Lazarus集團(tuán)黑客工具的相似性，因此歸因Lazarus。2018年至2020年期間，美國司法部起訴3名Lazarus成員。

（五）Lazarus入侵印度核電系統(tǒng)

2019年9月，Lazarus成功入侵印度核電系統(tǒng)，由此印度緊急關(guān)閉了一座核電站【7】。此次攻擊主要針對印度原子能管理委員會(huì)成員使用魚叉式攻擊，冒充印度核能組織發(fā)送誘餌電子郵件，將帶有名為“Dtrack”的惡意軟件的鏈接附在郵件中，一旦點(diǎn)擊鏈接會(huì)將惡意軟件下載到計(jì)算機(jī)上。此次攻擊使用的惡意軟件“DTrack”與“黑暗首爾”有諸多相似之處，實(shí)現(xiàn)功能的方式與代碼編寫風(fēng)格均相同，歸因此事件出自Lazarus之手。

（六）針對漏洞研究人員發(fā)動(dòng)定向攻擊

2021年1月，谷歌安全團(tuán)隊(duì)發(fā)現(xiàn)Lazarus長期潛伏在Twitter、LinkedIn、Telegram 等社交媒體，利用虛假身份偽裝成活躍的業(yè)內(nèi)漏洞研究專家，博取業(yè)內(nèi)信任從而對其他漏洞研究人員發(fā)動(dòng)0day攻擊【8】。從此可以看出Lazarus實(shí)際上是想竊取高價(jià)值的0Day漏洞信息，從而反映出其開發(fā)網(wǎng)絡(luò)武器的人員的可能已經(jīng)“黔驢技窮”。

總結(jié)

Lazarus攻擊主要目標(biāo)以竊取資金和實(shí)現(xiàn)政治目的為出發(fā)點(diǎn)，無論是在網(wǎng)絡(luò)武器方面和攻擊手段方面都能看出該國網(wǎng)軍的實(shí)力。

隨著國際對Lazarus的手段越來越明晰，其攻擊的難度也會(huì)逐漸加大，未來Lazarus會(huì)長期覬0day漏洞等情報(bào)資料，不斷擴(kuò)充其軍火庫，從而提升武器儲(chǔ)備能力。

注解

1. https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

2. https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack

3. https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war

4. https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf

5. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf

6. https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCry Ransomware.pdf

7. https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/

8. https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

關(guān)于作者

奇安信集團(tuán)紅雨滴團(tuán)隊(duì)（RedDrip Team，@RedDrip7），依托全球領(lǐng)先的安全大數(shù)據(jù)能力、多維度多來源的安全數(shù)據(jù)和專業(yè)分析師的豐富經(jīng)驗(yàn)，自2015年持續(xù)發(fā)現(xiàn)多個(gè)包括海蓮花在內(nèi)的APT組織在中國境內(nèi)的長期活動(dòng)，并發(fā)布國內(nèi)首個(gè)組織層面的APT事件揭露報(bào)告，開創(chuàng)了國內(nèi)APT攻擊類高級(jí)威脅體系化揭露的先河。截至目前，持續(xù)跟蹤分析的主要APT團(tuán)伙超過46個(gè)，獨(dú)立發(fā)現(xiàn)APT組織13個(gè)，持續(xù)發(fā)布APT組織的跟蹤報(bào)告超過90篇，定期輸出半年和全年全球APT活動(dòng)綜合性分析報(bào)告。

原文地址：https://mp.weixin.qq.com/s/MB39f7L1uD2C3ubYvH4cVw

作者：?紅雨滴團(tuán)隊(duì)?虎符智庫