Lazarus APT IOCs - Part 2

security IOC
Опубликовано

Аналитическая группа ASEC отслеживает атаки группы Lazarus на цели в Корее. В апреле команда обнаружила группу атак, предположительно принадлежащую Lazarus, которая распространяла NukeSped, используя уязвимость. Злоумышленник использовал уязвимость log4j в продуктах VMware Horizon, к которым не был применен патч безопасности. Эти продукты представляют собой решения для виртуальных рабочих столов, используемые в основном компаниями для решений по удаленной работе и эксплуатации облачной инфраструктуры. Учитывая недавнее распространение Covid-19, вполне вероятно, что многие компании используют эти продукты для удаленной работы.

Содержание
  1. Lazarus APT
  2. NukeSped
  3. Установка INFOSTEALER
  4. Команды NukeSped
  5. Jin Miner
  6. Indicators of Compromise
  7. IPv4
  8. IPv4 and port
  9. Domains
  10. Domains and port
  11. URLs
  12. MD5

Lazarus APT

Lazarus APT IOCs - Part 1

NukeSped

NukeSped - это вредоносная программа с бэкдором, которая может получать команды злоумышленников с C&C-сервера и выполнять полученные команды. Тип вредоносной программы, является одним из вариантов NukeSped, который используется группой Lazarus с 2020 года.

Вариант разработан на языке C++. Поскольку он использует виртуальные функции, имена классов включены в двоичный файл.

Обычно он использует алгоритм DES для расшифровки внутренних строк, включая имена API и список C&C-серверов. Для связи с C&C-сервером он использует алгоритм RC4. Но есть и некоторые изменения: ранее были типы, которые использовали Xor-шифрование (класс CryptorXor) вместо алгоритма RC4 для связи с C&C-сервером. Но для этой атаки был тип, использующий алгоритм RC4 для внутренних строк, списка C&C-серверов и связи с C&C-сервером. Каждый процесс использует разное значение для ключа RC4.

После завершения процессов расшифровки строк и API Resolving вредоносная программа начинает общаться с сервером C&C. NukeSped проходит дополнительный процесс проверки после получения доступа к C&C-серверу путем отправки строки, замаскированной под SSL-коммуникацию. Когда вредоносная программа получает определенные строки, она распознает сервер как обычный C&C-сервер и продолжает работу.

Затем вредоносная программа находит MAC-адрес пользовательской среды и отправляет его на C&C-сервер после шифрования с помощью алгоритма RC4. Он также будет шифровать пакеты с помощью этого алгоритма в последующих сообщениях.

NukeSped может осуществлять кейлоггинг, делать скриншоты, а также выполнять задачи с файлами и оболочками в зависимости от полученной команды.

Установка INFOSTEALER

Атакующий использовал NukeSped для дополнительной установки infostealer. Обнаруженные 2 типа вредоносных программ являются консольными, не сохраняя результат утечки в отдельных файлах. Таким образом, предполагается, что злоумышленник удаленно управлял экраном графического интерфейса пользовательского ПК или осуществлял утечку данных в конвейерной форме. Одна из двух вредоносных программ представляет собой тот же файл, который использовался в предыдущей атаке.

Список программ и данных для утечки информации выглядит следующим образом:

  • Собранные данные: учетные записи и пароли, сохраненные в браузерах, история браузера
    Целевое программное обеспечение: Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Naver Whale.
  • Собираемые данные: информация об учетных записях электронной почты
    Целевое программное обеспечение: Outlook Express, MS Office Outlook и Windows Live Mail.
  • Собранные данные: Имена недавно использованных файлов
    Целевое программное обеспечение: MS Office (PowerPoint, Excel и Word) и Hancom 2010.

Команды NukeSped

Злоумышленник собрал дополнительную информацию, используя вредоносное ПО NukeSped с бэкдором для отправки команд командной строки. Следующие команды показывают основную сетевую и доменную информацию среды, в которой находится зараженная система. Собранная информация может быть использована в дальнейшем в атаках бокового перемещения.

  • cmd.exe /c "ping 11.11.11.1"
  • cmd.exe /c "ipconfig /all"
  • cmd.exe /c "query user"
  • cmd.exe "net group "domain admins" /domain"
  • net user _smuser white1234!@#$
  • cmd.exe "net localgroup administrators /add smi140199"

Jin Miner

Анализ журнала ASD для зараженной системы показывает, что до того, как группа Lazarus установила NukeSped, другие злоумышленники уже использовали уязвимость для установки Jin Miner. Jin Miner известен как штамм вредоносного ПО, распространяемый через уязвимость Log4Shell.

Indicators of Compromise

IPv4

  • 85.29.8.18
  • 84.38.133.145
  • 84.38.133.16

IPv4 and port

  • 85.29.8.18:8888
  • 84.38.133.145:443
  • 84.38.133.16:8443

Domains

  • mail.usengineergroup.com

Domains and port

  • mail.usengineergroup.com:8443

URLs

  • http://iosk.org/pms/add.bat
  • http://iosk.org/pms/mad.bat
  • http://iosk.org/pms/jin.zip
  • http://iosk.org/pms/jin-6.zip
  • http://185.29.8.18/htroy.exe

MD5

  • 87a6bda486554ab16c82bdfb12452e8b
  • 830bc975a04ab0f62bfedf27f7aca673
  • 131fc4375971af391b459de33f81c253
  • 827103a6b6185191fd5618b7e82da292
  • 1875f6a68f70bee316c8a6eda9ebf8de
  • 85995257ac07ae5a6b4a86758a2283d7
  • 47791bf9e017e3001ddc68a7351ca2d6
  • 7a19c59c4373cadb4556f7e30ddd91ac
  • c2412d00eb3b4bccae0d98e9be4d92bb
  • 8c8a38f5af62986a45f2ab4f44a0b983
  • 7ef97450e84211f9f35d45e1e6ae1481
  • dd4b8a2dc73a29bc7a598148eb8606bb

Похожие записи:

  1. Lazarus APT IOCs - Part 4
  2. Lazarus APT IOCs - Part 5
  3. Lazarus APT IOCs - Part 8
  4. Lazarus APT IOCs - Part 9
  5. Lazarus APT IOCs
APT ASEC Lazarus
Добавить комментарий