国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专注于针对特定目标进行长期的持续性网络攻击。

奇安信旗下的高级威胁研究团队红雨滴(RedDrip Team)每年会发布全球APT年报【1】、中报,对当年各大APT团伙的活动进行分析总结。

虎符智库特约奇安信集团旗下红雨滴团队,开设“起底国家级APT组织”栏目,逐个起底全球各地区活跃的主要APT组织。

Lazarus Group

Lazarus Group又名HIDDEN COBRA、Zinc、APT-C-26、Guardians of Peace等称号,是东亚地区某国最活跃的APT组织之一。

其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁。

背景

Lazarus Group又名HIDDEN COBRA(美国情报界命名) 、Zinc、APT-C-26、Guardians of Peace等称号,是东亚地区某国最活跃的APT组织之一,得到该国情报部门的大力支持。

自2009年以来,被归因于该组织的攻击事件数量迅速增长。特别在2017年后,Lazarus Group加大了攻击行动力度,组织了多起影响重大的攻击事件,例如对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼行动等。

Lazarus攻击目的主要以窃取资金为主,针对银行、比特币交易所等金融机构及个人实施定向攻击,堪称全球金融机构的最大威胁。其次,Lazarus还针对航空航天、工程、技术、政府、媒体、等机构及企业进行渗透,达到窃取重要资料及破坏勒索的目的。

攻击特点手段、工具

Lazarus早期多利用僵尸网络对目标进行DDos攻击;中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。

Lazarus组织的攻击主要有以下特点:

  • 攻击周期普遍较长,通常进行较长时间潜伏,并换不同方法诱使目标被入侵。

  • 投递的诱饵文件具有极强的迷惑性和诱惑性,导致目标无法甄别。

  • 攻击过程会利用系统破坏或勒索应用干扰事件的分析。

  • 利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放。

  • 每次攻击使用工具集的源代码都会修改,并且网安公司披露后也会及时修改源代码。

(一)攻击手段

1. 鱼叉攻击

通常以邮件夹带恶意文档作为诱饵,常见文件格式为DOCX,后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。

2. 水坑攻击

Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。

2017年,Lazarus对波兰金融监管机构发动水坑攻击,在网站官方网站植入恶意的JavaScript漏洞,导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织,大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。

3. 社工攻击

Lazarus擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。

2020年期间,Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。

2021年,Lazarus Gourp以网络安全人员身份潜伏在Twitter中,伺机发送嵌有恶意代码的工程文件攻击同行人员。从这些案例可以看出,Lazarus针对的目标越来越明确,使用手法也越来越灵活直接。

(二)攻击使用工具及技术特征

Lazarus使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明Lazarus背后有稳定的大型开发团队。

Lazarus拥有的攻击能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware,使用的恶意代码包括Destover、Duuzer和 Hangman等。

通过分析攻击案例可以看出Lazarus攻击的技术特征

1. 擅长使用多种加密算法,包括RC4,AES, Spritz等标准算法,也使用XOR及自定义字符变换算法。

2. 主要使用虚假构造的TLS协议,通过在SNI record中写入白域名来Bypass IDS,也使用IRC、HTTP协议。

3. 通过破坏MBR、分区表或者向扇区写入垃圾数据从而破坏系统。

4. 其工具包许多组件都包括自删除脚本

5. TCP后门支持数十个命令

知名攻击事件

(一)特洛伊和黑暗首尔行动

2009年至2012年,Lazarus Group针对韩国武装部队和政府展开长期网络间谍行动,此活动后被命名为“特洛伊行动”【2】。2013年,Lazarus Group对韩国金融行业开展第二次攻击,后被称为“黑暗首尔行动”【3】。这两次活动的披露使得Lazarus Group首次成为公众关注的焦点。这些活动使用的恶意软类似于 Win32/Spy.Keydoor 或者Win64/Spy.Keydoor.。

(二)索尼公司攻击事件

2014,索尼影视娱乐公司宣布上映《刺杀金某某》电影,引起该国强烈不满。随后,Lazarus Group入侵索尼,进行了报复式的破坏,许多内部文件和文件被窃取、泄露或删除【4】。随后的两年,多家安全公司参与调查,最终通过Lazarus使用过的自删除文件、TCP后门中的格式字符串、动态API加载例程、混淆函数名和使用虚假TLS通信等一系列证据,将此前很多起攻击事件与索尼攻击事件一起归因至Lazarus。

(三)SWIFT系统盗取美金

2016年,Lazarus Group通过Alreay攻击组件,篡改SWIFT软件,使得其能够操作银行账号任意进行转账,窃取孟加拉央行8100万美元【5】。此次攻击使用的自清除文件与攻击索尼公司的文件相似,因此归因于Lazarus。此外,这次攻击的流程与早年间越南、厄瓜多尔等多国银行被盗事件攻击流程相似,也同样归因于Lazarus。

(四)Wannacry席卷全球

2017年5月,勒索病毒“WannaCry”感染事件爆发,全球范围近百个国家遭到大规模网络攻击【6】,Lazarus利用NSA泄露“永恒之蓝”漏洞散播勒索病毒“WannaCry”,导致目标电脑中大量文件被加密,并被要求支付比特币以解密文件。谷歌团队在WannaCry代码中发现了来自Lazarus集团黑客工具的相似性,因此归因Lazarus。2018年至2020年期间,美国司法部起诉3名Lazarus成员。

(五)Lazarus入侵印度核电系统

2019年9月,Lazarus成功入侵印度核电系统,由此印度紧急关闭了一座核电站【7】。此次攻击主要针对印度原子能管理委员会成员使用鱼叉式攻击,冒充印度核能组织发送诱饵电子邮件,将带有名为“Dtrack”的恶意软件的链接附在邮件中,一旦点击链接会将恶意软件下载到计算机上。此次攻击使用的恶意软件“DTrack”与“黑暗首尔”有诸多相似之处,实现功能的方式与代码编写风格均相同,归因此事件出自Lazarus之手。

(六)针对漏洞研究人员发动定向攻击

2021年1月,谷歌安全团队发现Lazarus长期潜伏在Twitter、LinkedIn、Telegram 等社交媒体,利用虚假身份伪装成活跃的业内漏洞研究专家,博取业内信任从而对其他漏洞研究人员发动0day攻击【8】。从此可以看出Lazarus实际上是想窃取高价值的0Day漏洞信息,从而反映出其开发网络武器的人员的可能已经“黔驴技穷”。

总结

Lazarus攻击主要目标以窃取资金和实现政治目的为出发点,无论是在网络武器方面和攻击手段方面都能看出该国网军的实力。

随着国际对Lazarus的手段越来越明晰,其攻击的难度也会逐渐加大,未来Lazarus会长期觊0day漏洞等情报资料,不断扩充其军火库,从而提升武器储备能力。

注解

  1. https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

  2. https://www.theguardian.com/world/2009/jul/08/south-korea-cyber-attack

  3. https://www.symantec.com/connect/blogs/four-years-darkseoul-cyberattacks-against-south-korea-continue-anniversary-korean-war

  4. https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf

  5. https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf

  6. https://www.dropbox.com/s/hpr9fas9xbzo2uz/WhitepaperWannaCry Ransomware.pdf

  7. https://www.teiss.co.uk/nuclear-power-plant-dtrack-malware/

  8. https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

关于作者

奇安信集团红雨滴团队(RedDrip Team,@RedDrip7),依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,自2015年持续发现多个包括海莲花在内的APT组织在中国境内的长期活动,并发布国内首个组织层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河。截至目前,持续跟踪分析的主要APT团伙超过46个,独立发现APT组织13个,持续发布APT组织的跟踪报告超过90篇,定期输出半年和全年全球APT活动综合性分析报告。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。