Центр экстренного реагирования безопасности AhnLab (ASEC) недавно подтвердил, что группа Lazarus, известная своей поддержкой в национальном масштабе, осуществляет атаки на веб-серверы Windows IIS. Обычно, когда субъекты угроз проводят сканирование и находят веб-сервер с уязвимой версией, они используют уязвимость, подходящую для данной версии, для установки веб-оболочки или выполнения вредоносных команд.
Lazarus APT
Журнал AhnLab Smart Defense (ASD) показывает, что атакам подвергаются серверные системы Windows, а вредоносные действия осуществляются через w3wp.exe, процесс веб-сервера IIS. Таким образом, можно предположить, что субъект угрозы использует плохо управляемые или уязвимые веб-серверы в качестве начального маршрута проникновения, а затем выполняет свои вредоносные команды.
Угрожающий агент помещает вредоносную библиотеку DLL (msvcr100.dll) в ту же папку, что и обычное приложение (Wordconv.exe) через процесс веб-сервера Windows IIS, w3wp.exe. Затем они запускают обычное приложение, чтобы инициировать выполнение вредоносной DLL. В MITRE ATT&CK этот метод атаки классифицируется как метод побочной загрузки DLL (T1574.002).
Использование группой Lazarus техники побочной загрузки DLL для запуска вредоносного ПО было подтверждено уже много раз. Угрожающий агент постоянно менял название обычного процесса, используемого в технике боковой загрузки DLL. В этой статье мы рассмотрим технику боковой загрузки DLL, используемую угрожающим агентом в процессе первоначального проникновения, а также его последующее поведение.
Агент угрозы создает Wordconv.exe, msvcr100.dll и msvcr100.dat через процесс веб-сервера Windows IIS (w3wp.exe) перед выполнением Wordconv.exe. Как показано на рисунке ниже, msvcr100.dll содержится в списке импортируемых DLL Wordconv.exe, поэтому первый DLL-файл, который загружается при выполнении Wordconv.exe, определяется приоритетом поиска DLL в операционной системе. В результате вредоносная msvcr100.dll запускается в памяти процесса Wordconv.exe.
Функциональность msvcr100.dll заключается в расшифровке закодированного PE-файла (msvcr100.dat) и ключа (df2bsr2rob5s1f8788yk6ddi4x0wz1jq), который передается в качестве аргумента командной строки во время выполнения Wordconv.exe, с помощью алгоритма Salsa20. Затем расшифрованный PE-файл выполняется в памяти. Затем он выполняет функцию очистки вредоносного DLL-модуля, который был загружен через вызов FreeLibraryAndExitThread WinAPI перед удалением самого себя (msvcr100.dll).
Кроме того, msvcr100.dll очень похож по внешнему виду и функциям на вредоносную программу cylvc.dll, описанную в статье блога ASEC "A Case of Malware Infection by the Lazarus Attack Group Disabling Anti-Malware Programs With the BYOVD Technique", опубликованной еще в 2022 году. Таким образом, можно предположить, что msvcr100.dll является вариантом вредоносной программы cylvc.dll.
Как и msvcr100.dll, cylvc.dll расшифровывает файлы данных с расширением .dat с помощью алгоритма Salsa20 перед выполнением PE-файла в пространстве памяти. PE, который выполнялся в области памяти в 2022 году, представлял собой бэкдор, который связывался с C&C-сервером угрожающего агента.
После первоначального проникновения угрожающий агент закрепился на новом месте и создал дополнительное вредоносное ПО (diagn.dll), используя открытый "плагин для выбора цвета", который является плагином для Notepad++.
diagn.dll отвечает за получение PE-файла, закодированного с помощью алгоритма RC6, в качестве значения аргумента выполнения, прежде чем использовать внутренне жестко закодированный ключ для расшифровки файла данных и выполнения PE-файла в памяти.
Ключ RC6: 5A 27 A3 E8 91 45 BE 63 34 23 11 4A 77 91 53 31 5F 47 14 E2 FF 75 5F D2 3F 58 55 6C A8 BF 07 A1
Вредоносное поведение PE-файла, исполняемого в памяти, неизвестно, поскольку файл данных PE, который был закодирован во время атаки, собрать не удалось, но через инфраструктуру AhnLab Smart Defense (ASD) был подтвержден лог доступа угрожающего агента к пространству памяти процесса lsass.exe через этот модуль. Таким образом, есть подозрение, что угрожающий субъект выполнил инструмент для кражи учетных данных, такой как Mimikatz.
Получив учетные данные системы, угрожающий агент провел внутреннюю разведку, а затем использовал удаленный доступ (порт 3389) для бокового перемещения во внутреннюю сеть. После этого не было обнаружено никаких других вредоносных действий со стороны угрожающего субъекта.
Группа Lazarus использовала различные векторы атак для осуществления первоначального взлома, включая Log4Shell, уязвимость публичного сертификата, атаку на цепочку поставок 3CX и т.д. Эта группа является одной из особо опасных групп, которые активно проводят атаки по всему миру. Поэтому менеджерам по корпоративной безопасности следует использовать управление поверхностью атаки для выявления активов, которые могут подвергнуться воздействию угроз, и проявлять осторожность, по возможности применяя последние исправления безопасности.
В частности, поскольку эта группа угроз в основном использует технику побочной загрузки DLL при первоначальном проникновении, компании должны проактивно отслеживать аномальные отношения выполнения процессов и принимать упреждающие меры для предотвращения таких действий группы угроз, как утечка информации и латеральное перемещение.
Indicators of Compromise
MD5
- 228732b45ed1ca3cda2b2721f5f5667c
- 47d380dd587db977bf6458ec767fee3d
- 4d91cd34a9aae8f2d88e0f77e812cef7
- e501bb6762c14baafadbde8b0c04bbd6