卡巴斯基研究人员观察到,与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。
专家们认为,这些攻击是网络间谍活动“梦想工作行动”(Operation Dream Job,又称NukeSped)的一部分,该行动自至少2020年以来一直在进行。
攻击者使用了复杂的感染链,包括多种类型的恶意软件,如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。
Lazarus Group利用恶意ISO文件来逃避检测,部署了木马化的VNC软件,以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。
研究人员还在受感染的主机上发现了CookieTime恶意软件,该恶意代码在LPEClient安装后以SQLExplorer服务激活,最初执行C2命令,但现在主要用于下载有效载荷。
攻击者使用CookieTime下载了多种恶意软件,包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。
攻击者使用ServiceChanger恶意软件停止了一个合法服务,在磁盘上存储恶意文件,并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll,与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下,CookieTime也通过DLL侧加载被加载,并且支持多种加载方法和不同的入口点。
“由于CookiePlus充当下载器,它的功能有限,并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中,CookiePlus生成了一个32字节的数据数组,其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。
研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠,但都伪装成Notepad++插件,并使用类似的策略,如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用,看起来更为先进,与2024年初已知的MISTPEN样本相比,支持额外的执行选项。
Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而,CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。
“在其历史上,Lazarus Group只使用了少量的模块化恶意软件框架,如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件,如CookiePlus,这表明该组织正在不断努力改进他们的武器库和感染链,以逃避安全产品的检测。”报告总结道。“对于防御者来说,问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看,它似乎仍在积极开发中,这意味着Lazarus Group未来可能会添加更多插件。”
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
