通过 DeathNote 活动发现的 Lazarus 组织的最新攻击趋势

　　Lazarus 又名 APT38，是一个知名的朝鲜语 APT 组织。主要负责以获得外汇为目的的攻击。自从 2007 年第一次出现后，该组织就非常活跃。早期主要是针对美国、韩国进行政治攻击，后续攻击目标渐渐扩大到印度、菲律宾、越南、孟加拉等亚洲及欧洲国家。2007 年攻击韩国政府网站；2014 年攻击 Sony 公司网站；2016 年入侵 Bangladeshi 银行，等等，不过真正让 Lazarus" 一球成名 " 还是 2014 年的索尼影业入侵事件，至此之后，Lazarus 逐渐衍变成了一个全球性的黑客组织，先后导演了入侵孟加拉国央行账号、使用 WannaCry 大范围勒索、攻击 5 大数字货币交易所、破坏印度 KNPP 核电站的重大安全事件，甚至他们发布发布的一些黑客工具也随着流行起来。

　　研究人员将在本文中重点介绍一个研究人员称之为 DeathNote 的活动，这是因为负责下载额外有效负载的恶意软件名为 Dn.dll 或 Dn64.dll，该活动也被称为 "Dream Job" 或 "NukeSped"。在过去的几年里，研究人员一直在密切监测 DeathNote 集群的活动，观察到他们目标的转变，以及他们工具、技术和程序的发展和改进。DeathNote 是 Lazarus 使用的一个复杂的恶意软件集群，在 2019 年出现。集群（cluster）是一种较新的技术，通过集群技术，可以在付出较低成本的示例下获得在性能、可靠性、灵活性方面的相对较高的收益，其任务调度则是集群系统中的核心技术。

　　DeathNote 集群演变的时间线

　　接下来，研究人员将从技术和战略方面介绍该集群中发生的重大修改。

　　持续分析 DeathNote

　　臭名昭著的攻击组织 Lazarus 长期以来一直以加密货币相关的企业为目标。在分析攻击者的活动时，研究人员注意到在一个特定的示例中，他们使用了一个经过显著修改的恶意软件。2019 年 10 月中旬，研究人员发现了一份上传到 VirusTotal 的可疑文件。经过进一步调查，研究人员发现这份文件的幕后黑手自 2018 年 10 月以来一直在使用类似的恶意 Word 文件。恶意软件开发者使用了与加密货币业务相关的诱饵文件，如关于购买特定加密货币的问卷调查，特定加密货币的介绍，以及比特币挖矿公司的介绍。

　　虚假文件

　　一旦受害者打开文档并启用宏，恶意的 Visual Basic 脚本就会提取嵌入的下载恶意软件，并使用特定参数加载。在最初的发现中，攻击者使用了两种类型的第二阶段有效负载。第一种是包含恶意后门的被操纵软件，而第二种是带有多阶段二进制感染进程的典型后门。

　　感染进程

　　第二阶段中使用的木马应用程序伪装成真正的 UltraVNC 查看器。如果在没有任何命令行参数的示例下执行，它将显示一个合法的 UltraVNC 查看器窗口。然而，当它使用 "-s {F9BK1K0A-KQ9B-2PVH-5YKV-IY2JLT37QQCJ}" 参数生成时，它会执行恶意例程。另一种感染方法执行安装程序，它在 Windows 服务中创建并注册注入程序和后门。最后，后门被注入到一个合法进程（svchost.exe）中，并启动命令和控制（C2）操作。在这次感染中，注入合法进程的最后一个有效负载是 Manuscrypt。在这一发现之前，Lazarus 组织的主要目标是加密货币业务。

　　国防工业成了新的重点攻击目标

　　在追踪这场活动的同时，研究人员发现了 2020 年 4 月攻击目标的重大转变以及最新的感染载体。研究表明，DeathNote 集群被用于针对东欧的汽车和学术部门，这两个部门都与国防工业有关。这样，攻击者把所有的诱饵文件都换成了与国防承包商和外交服务相关的工作描述。

　　此外，攻击者还改进了感染链，在武器化文档中使用远程模板注入技术，以及使用木马化的开源 PDF 查看器软件。这两种感染方法都会产生相同的恶意软件 ( DeathNote 下载程序 ) ，该恶意软件负责上传受害者的信息，并根据 C2 的判断检索下一阶段的有效负载。最后，在内存中执行 COPPERHEDGE 变体。

　　感染链

　　值得注意的是，一个基于开源软件的木马化 PDF 阅读器使用了一种有趣的技术来启动其恶意例程。它首先检索打开的 PDF 文件的 MD5 哈希，并使用检索到的 MD5 值对 65 字节的嵌入数据执行异或操作。接下来，它验证被异或的数据的第一个 WORD 值是否为 0x4682，并检查 MD5 哈希值是否与被异或的数据的最后 16 个字节匹配。如果这两个条件都满足，则剩余的 47 字节值将被用作下一阶段感染的解密密钥。

　　木马化的 PDF 阅读器的验证进程

　　最后，这个木马化的 PDF 查看器用一个诱饵 PDF 文件覆盖原始打开的文件，并在实现恶意软件有效负载时打开它来欺骗受害者。有效负载使用命令行参数执行，并且在 Startup 文件夹中创建一个快捷方式文件以确保持久性。这种感染机制证明了攻击者传递有效负载时的谨慎和精确。

　　扩大目标并采用新的感染载体

　　2021 年 5 月，研究人员观察到欧洲一家提供监控网络设备和服务器解决方案的 IT 公司被同一集群攻击。据信，Lazarus 组织对该公司广泛使用的软件或其供应链有兴趣。

　　此外，2021 年 6 月初，Lazarus 组织开始针对韩国的目标使用新的感染机制。值得注意的是，恶意软件的初始阶段是由在韩国广泛使用的合法安全软件执行的。据悉，该恶意软件是通过这款在韩国广泛使用的软件中的漏洞传播的。

　　与之前的示例类似，最初的感染载体创建了下载恶意软件。一旦连接到 C2 服务器，下载程序就会根据操作员的命令检索额外的有效负载，并在内存中执行。在此期间，BLINDINGCAN 恶意软件被用作内存驻留后门。虽然 BLINDINGCAN 恶意软件有足够的能力控制受害者，但攻击者可以手动植入额外的恶意软件，该组织可能旨在创造一种额外方法来控制受害者。检索到的加载程序的导出函数（CMS_ContentInfo）是使用命令行参数启动的，这对于解密嵌入的下一阶段有效负载和配置至关重要。只有当参数的长度为 38 时，此进程才会继续。最后，在受害者身上执行该集群以前使用的 COPPERHEDGE 恶意软件。

　　大约一年后的 2022 年 3 月，研究人员发现同一个安全程序被利用，攻击者向韩国的几名受害者传播类似的下载恶意软件。不过传播的有效负载是不同的。C2 操作员手动植入了一个后门两次，虽然无法获得最初植入的后门，但研究人员认为它与下一阶段的后门相同。新植入的后门能够通过命名管道通信执行检索的有效负载。此外，攻击者利用侧加载来执行 Mimikatz，并使用窃取恶意软件来收集用户的击键和剪贴板数据。

　　大约在同一时间，研究人员发现了拉丁美洲的一家国防承包商也被同样的后门攻破的证据。最初的感染载体与研究人员在其他国防工业目标中看到的类似，涉及使用带有精心制作的 PDF 文件的木马化 PDF 阅读器。然而，在该示例中，攻击者采用了一种侧加载技术来执行最终的有效负载。当恶意 PDF 文件被木马化的 PDF 阅读器打开时，受害者会看到上面提到的相同的恶意软件，它负责收集和报告受害者的信息，检索命令并使用管道通信机制执行它们。行动者使用此恶意软件植入额外的有效负载，包括用于侧加载目的的合法文件。

　　合法文件：%APPDATA%USOSharedCameraSettingsUIHost.exe；

　　恶意文件：%APPDATA%USOShareddui70.dll；

　　配置文件：%APPDATA%USOShared4800-84dc-063a6a41c5c；

　　命令行：%APPDATA%USOSharedCameraSettingsUIHost.exe uTYNkfKxHiZrx3KJ；

　　对一家国防承包商的持续攻击

　　2022 年 7 月，研究人员观察到 Lazarus 组织成功攻击了非洲的一家国防承包商。最初的感染是通过 Skype 即时通讯软件发送的一个可疑的 PDF 应用程序。执行 PDF 阅读器后，它在同一目录中创建了一个合法文件（CameraSettingsUIHost.exe）和恶意文件（DUI70.dll）。这种攻击严重依赖于研究人员在前一个案例中观察到的相同的 DLL 侧加载技术。最初由 PDF 阅读器植入和执行的有效负载负责收集和报告受害者的信息，以及从名为 LPEClient 的远程服务器检索额外的有效负载。Lazarus 组织在各种活动中多次使用这种恶意软件。他们还利用同样的 DLL 侧加载技术植入额外的恶意软件，能够通过后门操作。为了在系统之间横向移动，攻击者使用了一种名为 ServiceMove 的有趣技术。此技术利用 Windows Perception Simulation Service 加载任意 DLL 文件。根据开发者的解释：" 每次启动 Windows Perception Simulation Service 时，都会加载一个不存在的 DLL 文件 "。通过在 C:WindowsSystem32PerceptionSimulation 目录下创建任意 DLL 并远程启动服务，攻击者能够在远程系统上以 NT AUTHORITYSYSTEM 的身份实现代码执行。攻击者在 PerceptionSimulation 文件夹中创建了一个 devobj.dll 文件，并远程执行 PerceptionSimulation 服务。在启动 devobj.dll 文件时，它从同一文件夹解密了加密的后门文件 PercepXml.dat，并在内存中执行它。

　　Post-exploitation

　　在调查中，研究人员对 Lazarus 组织的 Post-exploitation 战略有了一个深入的了解。在初始感染后，攻击者执行了许多 Windows 命令来收集基本的系统信息，并试图找到有攻击价值的计算机，如 Active Directory 服务器。在横向移动之前，Lazarus 组织使用众所周知的方法获得了 Windows 凭据，并使用了 ServiceMove 等公共技术。当该组织完成任务并开始窃取数据时，他们主要使用 WinRAR 实用程序压缩文件并通过 C2 通信通道传输它们。

　　总结

　　在追踪了 DeathNote 集群及其起源后，研究人员已经确定 Lazarus 组织就是其幕后组织。此外，研究人员分析了通过 DeathNote 恶意软件向受害者发送 Windows 命令的示例，发现在格林尼治标准时间 00:00 至 07:00 之间执行了大量命令。根据研究人员对正常工作时间的了解，研究人员可以推断攻击者位于 GMT+08 或 GMT+09 时区。

　　Windows 命令的时间点变化

　　此外，该攻击者还在 C2 脚本中留下了韩语评论 " "，翻译过来是 " 正常调用 "。这进一步支持了 "Lazarus 是朝鲜语地区 " 的假设。

　　C2 脚本中的朝鲜语注释

　　总之，Lazarus 组织是一个臭名昭著、技术高超的攻击组织。研究人员对 DeathNote 集群的分析揭示了多年来其战术、技术和程序的快速演变。