Lazarus APT (DeathNote) IOCs

security IOC
Опубликовано

Известный угрожающий агент Lazarus на протяжении длительного времени настойчиво атакует предприятия, связанные с криптовалютами. Отслеживая деятельность актора, Kaspersky Lab заметили, что в одном конкретном случае он использовал значительно модифицированную часть вредоносного ПО. В середине октября 2019 года Kaspersky Lab обнаружили подозрительный документ, загруженный на VirusTotal. Проведя дальнейшее расследование, Kaspersky Lab обнаружили, что APT, создавший этот документ, использовал подобные вредоносные документы Word с октября 2018 года. Автор вредоносного ПО использовал документы-приманки, связанные с криптовалютным бизнесом, такие как анкета о покупке конкретной криптовалюты, введение в конкретную криптовалюту и введение в компанию по добыче биткоинов.

DeathNote

Группа Lazarus - это высокопоставленный корейскоязычный агент угроз с множеством подкампаний.

Активный кластер, который Kaspersky Lab назвали DeathNote, поскольку вредоносная программа, отвечающая за загрузку дополнительной полезной нагрузки, имеет название Dn.dll или Dn64.dll. Эта угроза также известна как Operation DreamJob или NukeSped.

Как только жертва открывает документ и включает макрос, вредоносный Visual Basic Script извлекает встроенную вредоносную программу-загрузчик и загружает ее с определенными параметрами. В этом первоначальном обнаружении агент использовал два типа полезной нагрузки второго этапа. Первый - это манипулируемый фрагмент программного обеспечения, содержащий вредоносный бэкдор, а второй - типичный бэкдор с многоступенчатым процессом заражения двоичным файлом.

Троянское приложение, используемое на втором этапе, маскируется под настоящую программу просмотра UltraVNC. Если его запустить без параметров командной строки, оно отобразит легитимное окно программы просмотра UltraVNC. Однако при запуске с параметрами "-s {F9BK1K0A-KQ9B-2PVH-5YKV-IY2JLT37QQCJ}" он выполняет вредоносную процедуру. При другом способе заражения выполняется программа установки, которая создает и регистрирует инжектор и бэкдор в службе Windows. Наконец, бэкдор внедряется в легитимный процесс (svchost.exe) и инициирует операцию командно-административного управления (C2). В этой инфекции конечной полезной нагрузкой, внедренной в легитимный процесс, был Manuscrypt. До этого обнаружения группа Lazarus была нацелена в основном на криптовалютный бизнес. Наше расследование выявило потенциальные компрометации отдельных лиц или компаний, занимающихся криптовалютами на Кипре, в США, Тайване и Гонконге.

Отслеживая эту кампанию, Kaspersky Lab обнаружили значительное изменение цели атаки, а также обновленные векторы заражения в апреле 2020 года. Наши исследования показали, что кластер DeathNote использовался для атаки на автомобильный и академический секторы в Восточной Европе, оба из которых связаны с оборонной промышленностью. В этот момент актер поменял все документы-обманки на описания должностей, связанных с оборонными подрядчиками и дипломатическими службами.

Кроме того, злоумышленник усовершенствовал цепочку заражения, используя технику удаленной инъекции шаблонов в свои документы, а также троянское программное обеспечение для просмотра PDF-файлов с открытым исходным кодом. Оба этих метода заражения приводят к появлению одной и той же вредоносной программы (DeathNote downloader), которая отвечает за загрузку информации жертвы и извлечение полезной нагрузки на следующем этапе по усмотрению C2. Наконец, в памяти выполняется вариант COPPERHEDGE.

Примечательно, что троянизированный PDF-ридер, основанный на открытом исходном коде, использовал интересную технику для запуска своей вредоносной процедуры. Сначала он получает хэш MD5 открытого PDF-файла и выполняет операцию XOR над 65 байтами встроенных данных, используя полученное значение MD5. Затем проверяется, что первое WORD-значение XORed данных равно 0x4682, и проверяется, что хэш-значение MD5 совпадает с последними 16 байтами XORed данных. Если оба условия выполнены, оставшееся 47-байтовое значение используется в качестве ключа расшифровки для следующего этапа заражения.

Наконец, троянская программа просмотра PDF-файлов перезаписывает оригинальный открытый файл ложным PDF-файлом и открывает его, чтобы обмануть жертву и внедрить полезную нагрузку вредоносной программы. Полезная нагрузка выполняется с параметрами командной строки, а в папке Startup создается файл ярлыка для обеспечения живучести. Этот механизм заражения демонстрирует тщательность и точность, с которой агент доставляет полезную нагрузку.

В мае 2021 года Kaspersky Lab наблюдали, что IT-компания в Европе, предоставляющая решения для мониторинга сетевых устройств и серверов, была скомпрометирована тем же кластером. Предполагается, что группа Lazarus была заинтересована в широко используемом программном обеспечении этой компании или ее цепочке поставок.

Кроме того, в начале июня 2021 года группа Lazarus начала использовать новый механизм заражения против целей в Южной Корее. Внимание Kaspersky Lab привлекло то, что начальная стадия вредоносной программы выполнялась легитимным программным обеспечением безопасности, широко используемым в Южной Корее. Предполагается, что вредоносная программа распространялась через уязвимость в этом широко используемом в Южной Корее программном обеспечении.

Как и в предыдущем случае, вектор первоначального заражения создавал вредоносное ПО-загрузчик. Подключившись к серверу C2, загрузчик извлекал дополнительную полезную нагрузку на основе команд оператора и выполнял ее в памяти. В это время вредоносная программа BLINDINGCAN использовалась в качестве бэкдора, расположенного в памяти. Хотя вредоносная программа BLINDINGCAN обладает достаточными возможностями для контроля над жертвой, агент вручную внедрил дополнительное вредоносное ПО. Предполагается, что целью группы было создание вспомогательного метода контроля над жертвой. Извлеченная функция экспорта загрузчика (CMS_ContentInfo) была запущена с параметрами командной строки, что крайне важно для расшифровки встроенной полезной нагрузки и конфигурации следующего этапа. Этот процесс продолжается только в том случае, если длина параметра равна 38. Наконец, на жертве была запущена вредоносная программа COPPERHEDGE, ранее использовавшаяся этим кластером.

Почти год спустя, в марте 2022 года, Kaspersky Lab обнаружили, что та же программа безопасности была использована для распространения аналогичного вредоносного ПО-загрузчика среди нескольких жертв в Южной Корее. Однако в этом случае была доставлена другая полезная нагрузка. Оператор C2 вручную дважды имплантировал бэкдор, и хотя мы не смогли получить первоначально имплантированный бэкдор, мы предполагаем, что он такой же, как и бэкдор на следующем этапе. Вновь внедренный бэкдор способен выполнять полученную полезную нагрузку с помощью связи по именованным трубам. Кроме того, агент использовал боковую загрузку для выполнения Mimikatz и использовал вредоносное ПО Stealer для сбора данных о нажатии клавиш и буфера обмена пользователей.

Примерно в то же время Kaspersky Lab обнаружили доказательства того, что один оборонный подрядчик в Латинской Америке был скомпрометирован тем же бэкдором. Первоначальный вектор заражения был схож с тем, что мы наблюдали в других случаях, связанных с оборонной промышленностью, и включал использование троянизированного PDF-ридера с поддельным PDF-файлом. Однако в этом конкретном случае для выполнения конечной полезной нагрузки злоумышленник использовал технику боковой загрузки. Когда вредоносный PDF-файл открывается с помощью троянизированного PDF-ридера, жертве открывается та же самая вредоносная программа, упомянутая выше, которая отвечает за сбор и предоставление информации о жертве, получение команд и их выполнение с помощью механизмов передачи данных по трубе. Агент использовал это вредоносное ПО для имплантации дополнительных полезных нагрузок, включая легитимные файлы для побочной загрузки.

  • Легитимный файл: %APPDATA%\USOShared\CameraSettingsUIHost.exe
  • Вредоносный файл: %APPDATA%\USOShared\dui70.dll
  • Конфигурационный файл: %APPDATA%\USOShared\4800-84dc-063a6a41c5c
  • Командная строка: %APPDATA%\USOShared\CameraSettingsUIHost.exe uTYNkfKxHiZrx3KJ

В июле 2022 года Kaspersky Lab заметили, что группа Lazarus успешно взломала оборонный подрядчик в Африке. Первоначально было заражено подозрительное PDF-приложение, которое было отправлено через мессенджер Skype. После выполнения PDF-ридер создавал в одном каталоге как легитимный файл (CameraSettingsUIHost.exe), так и вредоносный файл (DUI70.dll). Эта атака в значительной степени опиралась на ту же технику боковой загрузки DLL, которую Kaspersky Lab наблюдали в предыдущем случае. Полезная нагрузка, которая изначально внедрялась и выполнялась PDF-ридером, отвечала за сбор и предоставление информации о жертве, а также за получение дополнительной полезной нагрузки с удаленного сервера под названием LPEClient. Группа Lazarus использовала эту вредоносную программу несколько раз в различных кампаниях. Они также использовали ту же технику боковой загрузки DLL для имплантации дополнительных вредоносных программ, способных работать в режиме бэкдора. Для того чтобы перемещаться между системами, агент использовал интересную технику под названием ServiceMove. Эта техника использует службу имитации восприятия Windows для загрузки произвольных DLL-файлов. Согласно объяснению автора, "несуществующий DLL-файл будет загружаться каждый раз при запуске службы имитации восприятия Windows". Создав произвольную DLL в C:\Windows\System32\PerceptionSimulation\ и запустив службу удаленно, актеры смогли добиться выполнения кода от имени NT AUTHORITY\SYSTEM на удаленной системе. Агент создал файл devobj.dll в папке PerceptionSimulation и удаленно запустил службу PerceptionSimulation. После запуска файла devobj.dll он расшифровывал зашифрованный файл бэкдора PercepXml.dat из той же папки и выполнял его в памяти.

В ходе расследования этой кампании Kaspersky Lab получили обширные сведения о стратегии группы Lazarus после эксплойта. После первоначального заражения оператор выполнял многочисленные команды Windows для сбора базовой информации о системе и попытки найти ценные узлы, такие как сервер Active Directory. Перед перемещением вбок группа Lazarus получала учетные данные Windows, используя известные методы, и применяла общедоступные техники, такие как ServiceMove. Когда группа завершила свою миссию и начала эксфильтрацию данных, она в основном использовала утилиту WinRAR для сжатия файлов и передачи их по каналам связи C2.

Indicators of Compromise

MD5

  • 0071b20d27a24ae1e474145b8efc9718
  • 0493f40628995ae1b7e3ffacd675ba5f
  • 075fba0c098d86d9f22b8ea8c3033207
  • 0ac90c7ad1be57f705e3c42380cbcccd
  • 0d4bdfec1e657d6c6260c42ffdbb8cab
  • 11fdc0be9d85b4ff1faf5ca33cc272ed
  • 14d79cd918b4f610c1a6d43cadeeff7b
  • 183ad96b931733ad37bb627a958837db
  • 1bd0ca304cdecfa3bd4342b261285a72
  • 1f254dd0b85edd7e11339681979e3ad6
  • 2449f61195e39f6264d4244dfa1d1613
  • 25b37c971fd7e9e50e45691aa86e5f0a
  • 265f407a157ab0ed017dd18cae0352ae
  • 26c0f0ce33f5088754d88a1db1e6c4a9
  • 2b02465b65024336a9e15d7f34c1f5d9
  • 2bcf464a333d67afeb80360da4dfd5bb
  • 2efbe6901fc3f479bc32aaf13ce8cf12
  • 4088946632e75498d9c478da782aa880
  • 4c239a926676087e31d82e79e838ced1
  • 50b2154de64724a2a930904354b5d77d
  • 56470e113479eacda081c2eeead153bf
  • 59cb8474930ae7ea45b626443e01b66d
  • 5da86adeec6ce4556f477d9795e73e90
  • 64e5acf43613cd10e96174f36cb1d680
  • 65df11dea0c1d0f0304b376787e65ccb
  • 706e55af384e1d8483d2748107cbd57c
  • 735afcd0f6821cbd3a2db510ea8feb22
  • 77194024294f4fd7a4011737861cce3c
  • 78d42cedb0c012c62ef5be620c200d43
  • 7a307c57ec33a23ce9b5c84659f133cc
  • 7a73a2261e20bdb8d24a4fb252801db7
  • 7af59d16cfd0802144795ca496e8111c
  • 7b8960e2a22c8321789f107a7b83aa59
  • 7d204793e75bb49d857bf4dbc60792d3
  • 83dd9b600ed33682aa21f038380a6eab
  • 84cd4d896748e2d52e2e22d1a4b9ee46
  • 880b263b4fd5de0ae6224189ea611023
  • 8840f6d2175683c7ed8ac2333c78451a
  • 8a05f6b3f1eb25bcbceb717aa49999cd
  • 8fc7b0764541225e5505fa93a7376df4
  • 9121f1c13955506e33894ffd780940cd
  • 92657b98c2b4ee4e8fa1b83921003c74
  • 97336f5ce811d76b28e23280fa7320b5
  • 97524091ac21c327bc783fa5ffe9cd66
  • 9b09ebf52660a9d6deca21965ce52ca1
  • 9ea365c1714eb500e5f4a749a3ed0fe7
  • 9fd35bad075c2c70678c65c788b91bc3
  • a43bdc197d6a273102e90cdc0983b0b9
  • adf0d4bbefccf342493e02538155e611
  • b23b0de308e55cbf14179d59adee5fcb
  • b3a8c88297daecdb9b0ac54a3c107797
  • b974bc9e6f375f301ae2f75d1e8b6783
  • c0a8483b836efdbae190cc069129d5c3
  • c278d6468896af3699e058786a8c3d62
  • ca6658852480c70118feba12eb1be880
  • cbc559ea38d940bf0b8307761ee4d67b
  • cd5357d1045948ba62710ad8128ae282
  • ced38b728470c63abcf4db013b09cff7
  • d1c652b4192857cb08907f0ba1790976
  • d4d654c1b27ab90d2af8585052c77f33
  • da1dc5d41de5f241cabd7f79fbc407f5
  • dc9244206e72a04d30eeadef23713778
  • dd185e2bb02b21e59fb958a4e12689a7
  • e7aa0237fc3db67a96ebd877806a2c88
  • e9d89d1364bd73327e266d673d6c8acf
  • eb061dfacb3667cf65d250911179235d
  • eb2dc282ad3ab29c1853d4f6d09bec4f
  • ee73a772b72a5f3393d4bf577fc48efe
  • f4b55da7870e9ecd5f3f565f40490996
  • f6d6f3580160cd29b285edf7d0c647ce
  • f821ca4672851f02bead3c4bd23bed84
  • fe549a0185813e4e624104d857f9277b
Похожие записи:
  1. DTrack Backdoor IOCs
  2. Gopuram Backdoor IOCs
  3. XCore Backdoor IOCs
  4. 3CXDesktopApp Backdoor IOCs
  5. Nokoyawa Ransomware IOCs - Part 2
DeathNote Kaspersky Lab Lazarus
Добавить комментарий