近期,塞讯安全实验室在追踪Lazarus的攻击事件中发现它利用易受攻击的软件中的缺陷多次攻击软件供应商。尽管相关厂商开发人员多次提供补丁和警告,但Lazarus还是在众多事件中通过软件供应链攻击得手。
Lazarus 多次攻击同一受害者的事实表明,黑客的目的是窃取源代码或尝试供应链攻击。
“这种反复出现的违规行为表明,攻击者持续且坚定,其目标可能是窃取有价值的源代码或篡改软件供应链,他们继续利用公司软件中的漏洞,同时针对其他软件制造商。”
今年7月,Lazarus被发现攻击时使用了多种感染链和攻击后工具集。
最近的一次攻击被归入了Lazarus在今年3月-8月期间针对多家软件供应商的攻击活动的更广泛范围内。
▍SIGNBT和LPEClient恶意软件
Lazarus的攻击目标是用于加密网络通信的合法安全软件。然而,黑客所采用的具体利用方法仍然未知。
该漏洞利用导致了SIGNBT恶意软件的部署以及用于将有效载荷注入内存以秘密执行的shellcode。
通过将恶意DLL(“ualapi.dll”)添加到启动中以由“spoolsv.exe”执行或执行Windows注册表修改来建立持久性。
恶意DLL文件在解密并从本地文件系统路径加载SIGNBT有效载荷之前执行受害者ID验证检查,以确保感染继续进行到预期目标。
Lazarus在攻击中使用的DLL侧载路径
SIGNBT的名称源自其用于命令与控制 (C&C) 通信、发送有关受感染系统的信息并接收执行命令的不同字符串。
SIGNBT支持的命令有:
- CCBrush:处理诸如获取系统信息、测试连接和配置设置等功能。
- CCList:管理进程,包括获取正在运行的进程列表、终止进程、运行文件和DLL操作。
- CCComboBox:与文件系统配合使用,例如获取驱动器列表、更改文件属性和创建新文件夹。
- CCButton:下载和上传文件,加载到内存中,并捕获屏幕。
- CCBitmap:实现常用的Windows命令和实用程序。
C&C服务器与SIGNBT之间的通信交换
我们发现Lazarus利用SIGNBT上的该功能在受感染的系统上加载凭证Dump工具和LPEClient恶意软件。
恶意软件加载过程
LPEClient本身就是一个信息窃取程序和恶意软件加载程序,其最新版本与之前记录的样本相比有显著的演变。
“它现在采用先进技术来提高其隐蔽性并避免检测,例如禁用用户模式系统调用Hook和恢复系统库内存部分。 ”
Lazarus在今年的其他攻击活动中整合了LPEClient,尽管它在早期感染阶段使用了该恶意软件来注入其他有效载荷。
Lazarus的多起攻击活动在2023年同时进行
总体而言,Lazarus组织仍然是最活跃和最危险的威胁组织之一,其目标范围之广泛,横跨多个地区和行业。
他们最近的行动凸显了他们精心定制的的策略和对目标实现持久性。广大企业则需要通过强调组织需要主动修补软件并防止漏洞被轻易利用来进行初始攻击。
塞讯验证提醒所有企业,无论在什么地区、所属什么行业,都需要警惕Lazarus威胁组织的恶意行为,很可能已被覆盖在其攻击范围之内,提前做好安全防御体系的验证很有必要。
塞讯模拟攻击库已包含Lazarus组织及SIGNBT恶意软件,您可以在塞讯安全度量验证平台中搜索关键词“Lazarus”或“SIGNBT”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否做好相应的抵御准备。