Lazarus (APT-C-26) APT IOCc

Группа Lazarus осуществляет атаки на пользователей платформ Windows, Linux и MacOS, используя вредоносные образцы, которые распространяются через репозиторий PyPI. Образцы под Windows содержат зашифрованную полезную нагрузку, в то время как образцы под Linux загружают вредоносный файл ELF при инициализации, и образцы под MacOS имеют аналогичные функции как и образцы под Linux. Вредоносные образцы под Linux и MacOS также имеют одинаковую команду и контроль (C2).

Lazarus (APT-C-26) APT

Анализ вредоносных образцов, использующих доставку Python, показал, что эти образцы содержат схожий код и функциональность, но не выполняют вредоносный код автоматически после установки. Они должны вызывать функции при определенных условиях. Один из образцов, который был проанализирован, имел структуру файлов, в которой происходила XOR-дешифровка и выполнение вредоносной функции через rundll32.

Анализ вредоносной загрузки на Linux показал, что образцы были распространены через пакеты Python, загруженные в репозиторий PyPI. Вредоносные полезные нагрузки были хранены в файле os.py, который выполнялся при установке библиотеки colouredtxt. Код в файле os.py был многократно зашифрован и выполнял функции удаленного управления, такие как загрузка файлов и выполнение команд.

В случае MacOS обнаружено сходство с атаками на Linux. Вредоносные образцы под MacOS имеют аналогичные функции и имена файлов как и образцы под Linux, а также общий контроль через C2. Файл os_helper, который был проанализирован, был исполняемым файлом формата Mach-O, и содержал функции удаленного управления.

Indicators of Compromise

IPv4 Port Combinations

• 91.206.178.125:80

Domains

• arcashop.org
• blockchain-newtech.com
• chaingrown.com
• fasttet.com
• jdkgradle.com
• pypi.online

URLs

• http://91.206.178.125/upload/upload.asp
• https://arcashop.org/boards.php
• https://blockchain-newtech.com/download/download.asp
• https://chaingrown.com/manage/manage.asp
• https://fasttet.com/user/agency.asp
• https://jdkgradle.com/jdk/update/update.php
• https://pypi.online/cloud.php

MD5

• 05957d98a75c04597649295dc846682d
• 10f190b9bbb875d3b2582ae9229da634
• 11c0ce888a5aedf82c509c4dca1b5b00
• 133b1621d76bd7f1f4c814f53cd501bc
• 1352f2621107e503cddde3bcc0d53d52
• 15a5fc35905624174077afcc1eaaa4ea
• 1f76eb089ef9f9cbf6840eb5231b2e75
• 267ef172f81bb8577e5371fbf20f7306
• 330fff5b3c54a03fd59a64981e96814d
• 33c9a47debdb07824c6c51e13740bdfe
• 3fcb2ccdc883d8f2d1a3761c1dc5cb3e
• 420f6e424b1b4a5b9d817c73f9eafa84
• 46127a35b73b714a9c5c58aaa43cb51f
• 494f2cc788afc585b4a5bd39ecb6dcca
• 4b3462420d5b05c78cfefec0e233b4ef
• 5a25375f2b23680690fe82c99cf3d314
• 67d112a63fd9c9c9ebb022675e794322
• 716f20a45816101a1dc58a02f776ea24
• 73850470a358c79b0a67eb809491dfdb
• 744187fb884a7650f4981d0d28ffdfd4
• 79a022c9b41cab5900a46c4b59c02954
• 7f30ca2454e02be1d5e71b3682b04ea5
• 864cbadfcc4a6d3554c032e7eb30d03f
• 8c351d35369a63d6c4a1478428a593d7
• 8c9094137a1624abb0f94d5fb3143d1e
• 8eca54af4e9e013acff7b2f18ac6ccff
• a6e7c231a699d4efe85080ce5fb36dfb
• b62c912de846e743effdf7e5654a7605
• cd980f9f4de27f712f69ad31f8cc13a9
• e88528ac23092ba628523654cad8abc4
• f2013e689dad863e02bfda9481f37085
• f50c83a4147b86cdb20cc1fbae458865