Lazarus进军macOS平台和加密货币行业

Kaspersky研究人员根据威胁情报发现Lazarus APT组织开始攻击金融行业，尤其是加密货币交易。经济利益仍然是Lazarus的主要目标，其使用的技术、方法和步骤都是为了避免检查。

2018年中旬，Kaspersky研究人员发布了关于Operation Applejeus的研究进展（https://securelist.com/operation-applejeus/87553/），分析了Lazarus开始关注加密货币交易。其中一个主要发现就是该组织攻击macOS的能力，然后Lazarus就开始在mac平台上扩展其攻击活动。

通过分析攻击金融机构的活动，研究人员发现了一起从2018年11月开始的新的攻击活动，其中使用PowerShell来控制Windows系统，使用macOS恶意软件攻击APPLE用户。

感染过程

根据恶意软件的传播可以Lazarus组织是一个组织管理精良的黑客组织，不仅为一些恶意软件构造了冗余，在开发后门时还有特定的内部标准和协议。攻击者开发了定制的PowerShell脚本来与恶意C2服务器通信，并从攻击者处执行命令。C2服务器脚本名伪装成WordPress文件和此类主流的开源项目文件。在与服务器建立恶意软件控制会话后，恶意软件能提供的功能包括：

· 设定休眠时间（C2交互的延迟）

· 退出恶意软件

· 收集主机的基本信息

· 检查恶意软件状态

· 显示当前恶意软件配置

· 更新恶意软件配置

· 执行系统shell命令

· 下载和上传文件

Lazarus在运行C2服务器方面使用了不同的技术：既有购买的服务器也使用被黑的主机。研究人员发现了一些在恶意攻击活动中看似合法的服务器。根据服务器影响header，研究人员发现这些服务器应该运行的是Microsoft Windows Server 2003的Internet Information Services (IIS) 6.0的有漏洞的实例。另一个Lazarus使用的C2服务器应该是从一家托管服务公司购买的，用来保存macOS和Windows payload。服务器的地理分布非常不同，从中国到欧盟国家都有。但是为什么使用两种不同类型的服务器呢？该组织的攻击活动中有一个规则（规律）就是只在租用的服务器上保存恶意软件，被黑的服务器只用于保存恶意软件通信所需的C2脚本。

根据用途对基础设施进行分类

恶意软件通过精心准备的诱饵文档进行传播，这些诱饵文件会吸引加密货币专业人士的注意。因为诱饵文件是韩文的，研究人员原因是因为韩国的企业是Lazarus的主要目标。其中一个诱饵文件如下所示：

武器化的诱饵文档内容示例

另一个基于宏的武器化的文档含有看似是一个中国企业的内容。研究人员无法确定这是否是一个合法的公司，还是只是Lazarus伪造的公司名。该公司网站从2017年开始就无法访问了。

武器化的基于宏的文档示例

研究人员还发现了被含有相同宏的恶意文档攻击的一个加密货币交易公司。该文档的内容也是有韩文的翻译的。

其他武器化的文档内容

Payload表明Lazarus在不断使用新的方式来绕过监测以不被监测。该组织构建了一个32位和64位的Windows恶意软件来支持所有的平台。从保存mac恶意软件的服务器分发的Windows payload有一个CheckSelf导出函数，其中一个名字为battle64.dll。根据CheckSelf研究人员还发现其他含有该函数的恶意软件样本，而且发现了一个含有battle的内部名。

这些Windows恶意软件样本都是用利用已知的PostScript漏洞的恶意HWP文档。HWP文档只是在韩国用户中间比较流行，研究人员已经见过很多次使用该方法的攻击活动了。

与之前的HWP攻击的联系

APPLE的产品在互联网初创企业和金融科技公司是非常流行的，这也是恶意攻击者构建macOS恶意软件的一个原因。在调查早期的Lazarus攻击活动和事件时，研究人员也预测攻击会逐渐扩展到macOS平台。

通过恶意软件的特征也可以看出，Lazarus的扩展活动正在进行中。

当前攻击活动与之前HWP攻击活动的重叠