Sharpshooter攻击活动与朝鲜APT Lazarus有关

McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。据分析，是在政府部门的帮助下进行的，结果表明该攻击活动的范围更加广泛、比研究人员最初认为的更加复杂。

与朝鲜的关系

为了隐藏真实位置，攻击者使用了ExpressVPN服务，该服务与来自2个伦敦的IP地址的服务器上的web shell (Notice.php)有关。

但是该IP地址并不是攻击者的真实来源。与朝鲜APT组织Lazarus的关系是通过分析使用的工具、策略和方法得出的结论。

比如，在Sharpshooter之前研究人员就发现Rising Sun与其他Lazarus组织的攻击活动使用相同的策略、技术和步骤。

该木马的三个变种表明Duuzer的进化过程：

研究人员分析发现这些Rising Sun变种都是基于Duuzer后门源码修改得来的。

两个攻击活动中都使用了伪造的招聘网站，而且非常相似，Lazarus使用Rising Sun相似版本的活动可以追溯到2017年。

框架中的恶意组件

研究人员分析来自C2的代码和数据发现，Rising Sun后门的新变种从2016年就开始使用了。用来传播和感染受害者的服务器使用的是Rising Sun的升级版，还含有SSL功能。

Sharpshooter攻击活动的C2主面板

获取了C2的信息可以帮助研究人员了解攻击者的目的和工具。其中就发现了攻击者隐藏在混淆技术之下的新工具。

通过分析网络包也可以发现，但是这种方法更难，需要的时间也更多。

另一个发现是一个位于南非纳米比亚共和国的IP地址。一个可能的解释是攻击者使用该区域作为测试域，另一个可能的解释是攻击者是从该区域发起攻击的，但这可能是一个错误的信息，会将研究人员指向另一个方向。

研究人员最初发现Sharpshooter是在2018年10月，但来自C2框架的服务器日志文件显示攻击活动是从2017年9月开始的，可能位于不同的服务器上。从第一次发现到去年年底，大概2个月的时间内被攻击的企业和组织数超过87个，而且攻击活动仍然在继续进行中。

更多关于该活动的分析参见McAfee研究人员在RSA安全大会上的演讲，参见https://www.rsaconference.com/events/us19/presentations。