朝鲜 APT 组织“Lazarus”(APT38) 正在利用 VMWare Horizon 服务器访问美国、加拿大和日本的能源供应商的企业网络。
Lazarus 是国家支持的威胁行为者,以在过去十年中进行间谍活动、数据盗窃和加密货币窃取活动而闻名。威胁行为者对国际上数百起复杂的攻击负责。
据发现最新行动的 Cisco Talos 研究人员称,Lazarus 在 2022 年 2 月至 2022 年 7 月期间针对能源组织,利用公共 VMWare Horizon 漏洞进行初始访问。
从那里,他们使用了自定义恶意软件系列,例如“VSingle”和“YamaBot”,以及一个以前未知的名为“MagicRAT”的远程访问木马 (RAT),用于搜索和窃取受感染设备的数据。
赛门铁克的威胁猎手在 4 月分析了同一活动 ,在 5月分析了 ASEC 研究人员 。然而,思科的报告更深入地揭示了有关威胁参与者活动的更多细节。
多种攻击策略
Cisco Talos 展示了几种攻击策略,展示了 Lazarus 的最新技术、策略和程序 (TTP),并突出了复杂黑客组织的多功能性。
在第一种情况下,威胁参与者利用易受 Log4Shell 漏洞攻击的 VMWare 服务器运行 shellcode,该 shellcode 建立了一个反向 shell,用于在受感染的端点上运行任意命令。
竞选活动中 Lazarus 的感染链之一 (Cisco Talos)
由于 VMWare Horizon 以高权限运行,Lazarus 可以在部署 VSingle 之前通过注册表项修改、WMIC 和 PowerShell 命令停用 Windows Defender。
VSingle 后门支持高级网络侦察命令,为窃取凭据做好准备,在主机上创建新的管理员用户,最后与 C2 建立反向 shell 连接以获取丰富其功能的插件。
VSingle 感染链 (Cisco Talos)
在报告中介绍的第二个案例中,涉及不同的受害者,初始访问和侦察遵循类似的模式,但这一次,黑客将 MagicRAT 与 VSingle 一起丢弃。
Talos昨天在 MagicRAT 上发表了一篇单独的帖子,详细介绍了这个以前看不见的木马的所有功能。
MagicRAT 可以通过执行硬编码命令自行建立持久性,这些命令创建所需的计划任务、帮助系统侦察以及从 C2 获取其他恶意软件,例如 TigerRAT。
MagicRAT 用于持久性的命令 (Cisco Talos)
在第三个入侵案例中,Lazarus 部署了 YamaBot,这是一种用 Go 编写的自定义恶意软件,具有标准 RAT 功能,例如:
列出文件和目录。
将过程信息发送到 C2。
从远程位置下载文件。
在端点上执行任意命令。
自行卸载
日本 CERT于 2022 年 7 月将 YamaBot 与 Lazarus 联系起来,突出了其加密的 C2 通信能力。
Lazarus 攻击链多样化不仅限于最终的恶意软件有效负载,还扩展到代理或反向隧道工具和凭证收集技术。
在某些情况下,黑客使用 Mimikatz 和 Procdump 工具,而在其他情况下,他们窃取了包含 AD 凭据的注册表配置单元的副本。
“在一个实例中,攻击者试图通过 PowerShell cmdlet 获取一个端点上的 Active Directory 信息。然而,一天后,攻击者使用 adfind.exe 在同一端点上提取了类似的信息,” Cisco Talos 在报告中解释道。
这些变化背后的想法是混合 TTP,使事件响应者的归因、检测和防御更具挑战性。
正如本报告中强调的那样,Lazarus 受到网络安全公司的密切监控,因此他们不能懒惰地使攻击链多样化。
这种攻击的多样化体现在 Lazarus 黑客的广泛攻击中,包括针对 IT 求职者、创建虚假加密货币交易应用程序、创建 木马开发工具、使用勒索软件作为诱饵以及巨额6.2 亿美元的攻击。 Ronin 桥上的加密货币盗窃案 。