时间:2021-09-10 作者:虎符智库
本文2751字阅读约需8钟
国家级APT(AdvancedPersistentThreat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。
奇安信旗下的高级威胁研究团队红雨滴(RedDripTeam)每年会发布全球APT年报【1】、中报,对当年各大APT团伙的活动进行分析总结。
虎符智库特约奇安信集团旗下红雨滴团队,开设“起底国家级APT组织”栏目,逐个起底全球各地区活跃的主要APT组织。
01
LazarusGroup
LazarusGroup又名HIDDENCOBRA、Zinc、APT-C-26、GuardiansofPeace等称号,是东亚地区某国最活跃的APT组织之一。
其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁。
背景
LazarusGroup又名HIDDENCOBRA(美国情报界命名)、Zinc、APT-C-26、GuardiansofPeace等称号,是东亚地区某国最活跃的APT组织之一,得到该国情报部门的大力支持。
自2009年以来,被归因于该组织的攻击事件数量迅速增长。特别在2017年后,LazarusGroup加大了攻击行动力度,组织了多起影响重大的攻击事件,例如对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼行动等。
Lazarus攻击目的主要以窃取资金为主,针对银行、比特币交易所等金融机构及个人实施定向攻击,堪称全球金融机构的最大威胁。其次,Lazarus还针对航空航天、工程、技术、政府、媒体、等机构及企业进行渗透,达到窃取重要资料及破坏勒索的目的。
攻击特点手段、工具
Lazarus早期多利用僵尸网络对目标进行DDos攻击;中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。
Lazarus组织的攻击主要有以下特点:
攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。
投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。
攻击过程会利用系统破坏或勒索应用干扰事件的分析。
利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。
每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。
(一)攻击手段
1.鱼叉攻击
通常以邮件夹带恶意文档作为诱饵,常见文件格式为DOCX,后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。
2.水坑攻击
Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。
2017年,Lazarus对波兰金融监管机构发动水坑攻击,在网站官方网站植入恶意的JavaScript漏洞,导致波兰多家银行被植入恶意程式。此次攻击感染了31个国家的104个组织,大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。
3.社工攻击
Lazarus擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。
2020年期间,Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。
2021年,LazarusGourp以网络安全人员身份潜伏在Twitter中,伺机发送嵌有恶意代码的工程文件攻击同行人员。从这些案例可以看出,Lazarus针对的目标越来越明确,使用手法也越来越灵活直接。
(二)攻击使用工具及技术特征
Lazarus使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明Lazarus背后有稳定的大型开发团队。
Lazarus拥有的攻击能力和工具包括DDoSbotnets、keyloggers、RATs、wipermalware,使用的恶意代码包括Destover、Duuzer和Hangman等。
通过分析攻击案例可以看出Lazarus攻击的技术特征:
1.擅长使用多种加密算法,包括RC4,AES,Spritz等标准算法,也使用XOR及自定义字符变换算法。
2.主要使用虚假构造的TLS协议,通过在SNIrecord中写入白域名来BypassIDS,也使用IRC、HTTP协议。
3.通过破坏MBR、分区表或者向扇区写入垃圾数据从而破坏系统。
4.其工具包许多组件都包括自删除脚本
5.TCP后门支持数十个命令
知名攻击事件
(一)特洛伊和黑暗首尔行动
2009年至2012年,LazarusGroup针对韩国武装部队和政府展开长期网络间谍行动,此活动后被命名为“特洛伊行动”【2】。2013年,LazarusGroup对韩国金融行业开展第二次攻击,后被称为“黑暗首尔行动”【3】。这两次活动的披露使得LazarusGroup首次成为公众关注的焦点。这些活动使用的恶意软类似于Win32/Spy.Keydoor或者Win64/Spy.Keydoor.。
(二)索尼公司攻击事件
2014,索尼影视娱乐公司宣布上映《刺杀金某某》电影,引起该国强烈不满。随后,LazarusGroup入侵索尼,进行了报复式的破坏,许多内部文件和文件被窃取、泄露或删除【4】。随后的两年,多家安全公司参与调查,最终通过Lazarus使用过的自删除文件、TCP后门中的格式字符串、动态API加载例程、混淆函数名和使用虚假TLS通信等一系列证据,将此前很多起攻击事件与索尼攻击事件一起归因至Lazarus。
(三)SWIFT系统盗取美金
2016年,LazarusGroup通过Alreay攻击组件,篡改SWIFT软件,使得其能够操作银行账号任意进行转账,窃取孟加拉央行8100万美元【5】。此次攻击使用的自清除文件与攻击索尼公司的文件相似,因此归因于Lazarus。此外,这次攻击的流程与早年间越南、厄瓜多尔等多国银行被盗事件攻击流程相似,也同样归因于Lazarus。
(四)Wannacry席卷全球
2017年5月,勒索病毒“WannaCry”感染事件爆发,全球范围近百个国家遭到大规模网络攻击【6】,Lazarus利用NSA泄露“永恒之蓝”漏洞散播勒索病毒“WannaCry”,导致目标电脑中大量文件被加密,并被要求支付比特币以解密文件。谷歌团队在WannaCry代码中发现了来自Lazarus集团黑客工具的相似性,因此归因Lazarus。2018年至2020年期间,美国司法部起诉3名Lazarus成员。
(五)Lazarus入侵印度核电系统
2019年9月,Lazarus成功入侵印度核电系统,由此印度紧急关闭了一座核电站【7】。此次攻击主要针对印度原子能管理委员会成员使用鱼叉式攻击,冒充印度核能组织发送诱饵电子邮件,将带有名为“Dtrack”的恶意软件的链接附在邮件中,一旦点击链接会将恶意软件下载到计算机上。此次攻击使用的恶意软件“DTrack”与“黑暗首尔”有诸多相似之处,实现功能的方式与代码编写风格均相同,归因此事件出自Lazarus之手。
(六)针对漏洞研究人员发动定向攻击
2021年1月,谷歌安全团队发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动0day攻击【8】。从此可以看出Lazarus实际上是想窃取高价值的0Day漏洞信息,从而反映出其开发网络武器的人员的可能已经“黔驴技穷”。
总结
Lazarus攻击主要目标以窃取资金和实现政治目的为出发点,无论是在网络武器方面和攻击手段方面都能看出该国网军的实力。
随着国际对Lazarus的手段越来越明晰,其攻击的难度也会逐渐加大,未来Lazarus会长期觊0day漏洞等情报资料,不断扩充其军火库,从而提升武器储备能力。
注解
https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack
https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war
https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf
https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCryRansomware.pdf
https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/
https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/
关于作者
奇安信集团红雨滴团队(RedDripTeam,@RedDrip7),依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,自2015年持续发现多个包括海莲花在内的APT组织在中国境内的长期活动,并发布国内首个组织层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河。截至目前,持续跟踪分析的主要APT团伙超过46个,独立发现APT组织13个,持续发布APT组织的跟踪报告超过90篇,定期输出半年和全年全球APT活动综合性分析报告。
95015服务热线
微信公众号