Lazarus APT IOCs

security IOC
Опубликовано

Некоторые действия, предпринятые на этапе первоначального доступа к атаке, приписываемой Lazarus, а также анализ вредоносного ПО, которое использовалось на этом этапе.

Содержание
  1. Lazarus APT
  2. Indicators of Compromise
  3. IPv4
  4. Domains
  5. MD5
  6. SHA1
  7. SHA256

Lazarus APT

Методы, используемые для получения доступа к сети жертвы, широко известны, однако нюансы, возникающие после эксплуатации, предоставляют богатую информацию о путях атаки и материалы по поиску угроз, которые тесно связаны с TTP группы Lazarus.

  • Lazarus использовал профили LinkedIn для выдачи себя за сотрудников других легальных компаний.
  • Lazarus общался с целевыми сотрудниками через такие каналы связи, как WhatsApp.
  • Lazarus заманивал жертв скачать объявления о вакансиях (zip-файлы), содержащие вредоносные документы, которые приводили к выполнению вредоносного ПО
  • Идентифицированный вредоносный загрузчик является вариантом LCPDOT.
  • Запланированные задачи используются в качестве формы сохранения (выполнение rundll32 из запланированной задачи)

Первоначальный вход в систему в значительной степени связан с социальной инженерией, а недавние попытки включали выдачу себя за сотрудников компании Lockheed Martin с профилями LinkedIn, чтобы убедить жертв откликнуться на предложение о работе, что привело к доставке вредоносного документа.

В данном случае доменом, на котором размещался документ, был global-job.org, вероятно, пытавшийся выдать себя за globaljobs.org, американский сайт по подбору персонала для правительственных/оборонных организаций. Для того чтобы обойти средства контроля безопасности, предусмотренные недавними изменениями, внесенными Microsoft в макросы Office, на сайте размещался ZIP-файл, содержащий вредоносный документ.

Документ имел ряд характеристик, сопоставимых с другими образцами Lazarus, однако по неизвестным обстоятельствам "формы", содержащие полезную нагрузку, были недоступны и не могли быть проанализированы.

После выполнения макродокумента вызывается rundll32.exe для выполнения DLL C:\programdata\packages.mdb, что приводило к первоначальному вызову сервера команд и управления. К сожалению, сам двоичный файл уже недоступен для анализа, однако считается, что именно этот компонент привел к размещению вредоносной программы LCPDot на хосте жертвы.

Вредоносный загрузчик, который выполнялся как запланированная задача. Обнаруженный образец является вариантом LCPDot и приписывается APT Larazus.

Рассматриваемый файл попытался слиться с окружающей средой, используя каталог ProgramData, в очередной раз C:\ProgramData\Oracle\Java\JavaPackage.dll. Однако файл имел характеристики, которые выделялись при поиске угроз:

  • Большой размер файла (60мб+) - вероятно, обойдет антивирусное сканирование
  • Копирование времени - временные метки копировались из CMD.exe
  • DLL принадлежит пользователю в каталоге ProgramData (не SYSTEM или Administrator).

Для выполнения LCPDot была создана запланированная задача с именем "Windows Java Vpn Interface", пытающаяся слиться с системой с помощью темы Java. Задание по расписанию выполняло двоичный файл.

Задача по расписанию была настроена на ежедневный запуск со следующим параметром, переданным для выполнения:

<Exec>
<Command>c:\windows\system32\rundll32.exe</Command>
<Arguments>C:\ProgramData\Oracle\Java\JavaPackage.dll,VpnUserInterface</Arguments>
</Exec>

Вредоносное ядро загрузчика запускается в отдельном потоке, а поток выполнения определяется на основе идентификаторов сообщений Windows (отправляемых функцией Windows API SendMessage).

Фаза инициализации происходит в новом потоке, при этом выполняются следующие задачи:

  • Инициализация класса MoscowTownList. Этот класс обладает функциональностью для чтения/записи конфигурации.
  • Создание файла конфигурации на диске. Файл конфигурации хранится под именем VirtualStore.cab в папке %APPDATA%\Local. Конфигурация включает в себя различные метаданные, а также URL-адреса командных и управляющих серверов.

Конфигурация шифруется путем хэширования (SHA-1) случайного массива байтов (16 байтов), а затем используется выход хэша для получения (CryptDeriveKey) ключа RC4 (16 байтов). Наконец, в файл конфигурации записывается массив случайных байтов, а затем зашифрованные данные конфигурации.

Перечисление логических дисков и активных сеансов входа в систему происходит только в том случае, если это указано в конфигурации. По умолчанию эта опция выключена. Более того, даже если она включена, она не оказывает никакого эффекта (например, отправляет их на командно-контрольный сервер).

После завершения этой фазы загрузчик начинает сетевое взаимодействие со своими серверами команд и управления.

На этом этапе загрузчик регистрирует скомпрометированный узел на командно-контрольном сервере, а затем запрашивает полезную нагрузку для выполнения. В целом, выполняются следующие шаги:

Инициализация классов Taxiroad и WashingtonRoad.

Создается массив байтов (16 байт), который затем кодируется (base64), и идентификатор сессии. Оба идентификатора отправляются на сервер. Закодированный массив байтов используется позже для расшифровки полученной полезной нагрузки и добавляется к содержимому тела запроса:
redirect=Yes&idx=%d&num=%s, где idx содержит значение времени загрузки скомпрометированного хоста, а num - закодированный (BASE64) массив байтов.
Кроме того, идентификатор сессии кодируется (BASE64) и добавляется к следующей строке:
SESSIONID-%d-202110, где 202110 - идентификатор сетевой команды.

Вышеуказанная строка снова кодируется (BASE64) и затем добавляется к заголовку SESSIONID POST-запроса.

После регистрации скомпрометированного узла сервер отвечает одним из следующих сообщений:

Validation Success - Бот зарегистрирован без проблем.
Validation Error - Произошла ошибка.

После завершения процесса регистрации загрузчик отправляет GET-запрос для загрузки полезной нагрузки второго этапа. Полученная полезная нагрузка расшифровывается путем хэширования (SHA-1) ранее созданного массива байтов, а затем полученный хэш используется для получения (CryptDeriveKey) ключа RC4.

Наконец, расшифрованная полезная нагрузка загружается непосредственно в память и выполняется в новом потоке.

Одним из интересных наблюдений является наличие функций и сетевых команд, которые загрузчик, похоже, не использует. Скорее всего следующие сетевые команды не используются загрузчиком (по крайней мере, в этом варианте), но операторы могут использовать их на стороне сервера (например, в PHP-скриптах, которым загрузчик отправляет данные) или загруженная полезная нагрузка использует их (Примечание: Команды 789020, 789021 и 789022 по умолчанию отключены):

  • 202112 - Отправляет зашифрованные данные в POST-запросе. Контекст данных неизвестен.
  • 202114 - Отправляет POST-запрос с содержимым тела 'Cookie=Enable'.
  • 789020 - Та же функциональность, что и у команды ID 202111.
  • 789021 - Та же функциональность, что и у команды с идентификатором 202112.
  • 789022 - Отправляет POST-запрос с содержимым тела 'Cookie=Enable'.

Indicators of Compromise

IPv4

  • 13.88.245.250

Domains

  • ats.apvit.com
  • bugs-hpsm.mobitechnologies.com
  • global-job.org
  • shoppingbagsdirect.com
  • thefrostery.co.uk

MD5

  • 49c2821a940846bdacb8a3457be4663c
  • afbcb626b770b1f87ff9b5721d2f3235

SHA1

  • 0a6f762a47557e369db8655a0d14ab088926e05b
  • d25a4f20c0b9d982d63fc0135798384c17226b55

SHA256

  • f4e314e8007104974681d92267673ac22721f756d8e1925142d9c26dc8a0ffb4
  • fd02e0f5fcf97022ac266a3e54888080f66760d731903fc32df2e17e6e1e4c64

Похожие записи:

  1. Lazarus APT IOCs - Part 2
  2. Lazarus APT IOCs - Part 3
  3. Lazarus APT IOCs - Part 4
  4. Lazarus APT IOCs - Part 5
  5. Lazarus APT IOCs - Part 7
APT Lazarus
Добавить комментарий