深度報告 | 揭秘朝鮮黑客組織Lazarus Group對加密貨幣的竊取手段

當前，世界各地安全公司、執法機關和情報機構都把Lazarus Group歸因於朝鮮的國家支持黑客組織，隨著Lazarus Group自身網路攻擊工具的進化發展，它們可以輕鬆實施DDoS殭屍網路攻擊和數據擦除攻擊，達到破壞性目的，也能順利開展特定公司網路和銀行SWIFT系統入侵，使各種內部資料和大量資金唾手可得。

本報告中，我們著重對Lazarus Group從未被外界披露的一個加密貨幣攻擊工具集進行分析，該工具集被Lazarus Group廣泛用於全球加密貨幣組織、個人和相關機構的入侵攻擊。

這個被稱為PowerRatankba的新工具集包括使用鏈接和附件的高針對性釣魚攻擊，以及針對加密貨幣個人和公司的大規模普遍性電郵釣魚攻擊，在分析中，我們還發現PowerRatankba的惡意變體支持銷售終端系統（POS）的信息卡數據竊取框架，這可能是首個具備該種功能的國家支持型惡意軟體實例。

簡介

Lazarus Group的攻擊日趨以經濟利益為目的，似乎對當前價格瘋漲的加密貨幣表現出了極大興趣。我們在大量的多級攻擊中發現了感染相關組織和個人的，以加密貨幣攻擊為目的的各種複雜控制後門和惡意軟體，除此之外，攻擊者為實現比特幣和其它電子貨幣竊取，還使用Gh0st遠控木馬來收集受害者加密貨幣錢包和交易數據。

眾所周知，Lazarus Group曾成功對幾家知名電子貨幣公司和交易所實施了數據竊取，根據這些攻擊行為，相關執法機構判斷Lazarus Group目前估計積累了價值近1億美元的加密貨幣資產。在2016年底和2017年初，Lazarus Group針對幾家銀行和金融機構的入侵中，其第一階段下載植入惡意軟體名為Ratankba，它被攻擊者主要用於前期滲透偵察，趨勢科技公司甚至把它形容為「地形測繪工具」。而在該報告中，我們詳細分析了一種基於PowerShell，與Ratankba相似且名為PowerRatankba的新型惡意植入軟體。我們認為，基於Ratankba在今年早些時候被公開曝光披露，而PowerRatankba很可能會成為Lazarus Group繼續以經濟利益為攻擊目標的升級迭代利用工具。

PowerRatankba Downloader

在本節中，我們將詳細介紹攻擊者實現PowerRatankba部署運行的不同入侵途徑和行為，總的來說，我們發現了攻擊者使用的6種不同入侵向量：

一種名為PowerSpritz的新型Windows執行程序；

一種惡意Windows快捷方式LNK文件；

使用兩種不同的技術的多個惡意HTML幫文件助（CHM）；

多個JavaScript（JS）下載程序；

兩個基於宏的Office文檔；

用來誘騙受害者，且託管在國際化域名基礎設施上的兩個後門化加密貨幣流行應用程序。

PowerRatankba攻擊時間線

據我們掌握的數據顯示，PowerRatankba的最早利用時間為2017年6月30號左右，它在針對某家加密貨幣機構高管的釣魚郵件攻擊中被我們發現，在其它攻擊活動中各種PowerRatankba變體被陸續使用。攻擊者通過包含比特幣黃金（BTG）或Electrum錢包主題的釣魚郵件附件或鏈接來部署PowerRatankba。以下為其攻擊時間線：

PowerSpritz

PowerSpritz是一個Windows可執行程序，它使用少見的Spritz加密演算法來隱蔽其攻擊載荷（Payload）和惡意PowerShell命令，另據觀察，攻擊者通過使用TinyCC短鏈接服務來跳轉和託管PowerSpritz攻擊載荷。早在2017年7月初，Twitter上有人分享了他們發現的利用假冒Skype更新來誘騙用戶點擊的攻擊證據，該假冒更新為短鏈接hxxps://skype.2[.]vu/1，點擊之後鏈接會重定向到託管攻擊載荷的伺服器hxxp://201.211.183[.]215:8080/ update.php?t=Skype&r=update，由此實現Payload運行。

之後，我們還發現了多個傳播PowerSpritz的短地址跳轉，如假冒Telegram的：

hxxp:// telegramupdate.2[.]vu/5 -> hxxp://122.248.34[.]23/lndex.php?t=Telegram&r=1.1.9
假冒Skype的：
hxxp://skypeupdate.2[.]vu/1 -> hxxp://122.248.34[.]23/lndex.php?t=SkypeSetup&r=mail_new

hxxp://skype.2[.]vu/k -> unknown

PowerSpritz利用Spritz加密演算法並以「Znxkai@ if8qa9w9489」為密碼加密有效的Skype或Telegram安裝程序，之後以句柄GetTempPathA獲取程序安裝目錄，程序安裝後會執行一個假冒更新，最終，會以相同的加密密碼執行PowerShell命令，下載PowerRatankba的初始階段部署程序：

上圖中可以看到， PowerSpritz還會從地址hxxp://dogecoin. deaftone[.]com:8080/mainls.cs獲取一個Base64加密腳本，腳本執行後，又會從另一地址 hxxp://vietcasino.linkpc[.]net:8080/search.jsp實現PowerRatankba的C&C命令控制：

惡意Windows快捷方式（LNK）文件

我們在一個名為「「Scanned Documents.zip」的壓縮包中發現了惡意LNK文件，它使用AppLocker繞過方式，從TinyURL短地址 hxxp://tinyurl[.]com/y9jbk8cg 獲取Payload:

惡意HTML幫助文件（CHM）

據我們數據發現，在10月、11月和12月期間，受害者曾將多個惡意CHM文件上傳到了多家防病毒掃描服務中，這些惡意CHM文件包括：

一個寫得相當混亂的，用來創建浪漫意味網站的幫助指南文件

來自Orient Exchange Co交易公司名為ALCHAIN區塊鏈技術的文檔

開發首次代幣發行平台（ICO）的協助要求

Falcon加密貨幣首次代幣發行平台（ICO）白皮書

加密貨幣交易平台的開發應用要求

電子郵件營銷軟體協助要求

這些惡意CHM文件都使用了短地址來執行相應惡意代碼，並配合兩種技術方式來獲取遠程Payload。第一種方式為使用VB腳本和BITSAdmin工具，首先從遠程地址 hxxp://www.businesshop[.]net/hide.gif 獲取下載腳本，之後，該下載腳本被保存為C:windows emp PowerOpt.vbs，一旦此腳本被執行，將會從遠程地址hxxp://158.69.57[.]135/theme.gif下載PowerShell命令，並保存為 C:UsersPublicPicturesopt.ps1，以實現PowerRatankba載入。下圖為CHM文件中的PowerRatankba downloader VB腳本：

下圖為用BITSAdmin工具通過HTTP獲取Payload的方式：

JavaScript Downloader

在11月，攻擊者以加密貨幣交易所Coinbase、Bithumb和Falcon Coin為主題的惡意ZIP文件，感染攻擊特定目標人物。這些惡意文件中都包含了通過JavaScript加密混淆器編碼的一個JavaScript downloader程序，程序邏輯非常簡單，首先，從 hxxp://51.255.219[.]82/ theme.gif獲取一個PowerRatankba.B下載腳本，然後保存到 C:UsersPublicPicturesopt.ps1中等待執行。下圖為編碼混淆的 falconcoin.js腳本：

下圖為解密後的 falconcoin.js和其PDF附屬誘餌下載鏈接：

上述腳本運行後，會隨即從 hxxp://51.255.219[.]82/files/download/falconcoin.pdf下載PDF誘餌文檔：

基於宏的Office惡意文檔

我們發現基於宏的一個Word文檔和一個Excel電子表格，其中Word文檔是名為「report phishing.doc」的美國國稅局（IRS）內容的主題附件，該釣魚郵件假冒「釣魚攻擊警告」郵件，並以@mail.com地址發送。比較搞笑的是，發件人地址被偽造為phishing@irs.gov，且郵件內容也像是從IRS官網網頁複製過來的：

手段類似，從hxxp://198.100.157[.]239/hide.gif 下載腳本，保存為 C: UsersPublicPicturesopt.vbs，然後通過hxxp://198.100.157[.]239/theme.gif，獲取Powershell腳本，並保存為C:UsersPublicPicturesopt.ps1。

另一個惡意宏文檔為bithumb.xls，它偽裝為比特幣交易公司Bithumb的內部文檔，該文檔被壓縮在 Bithumb.zip中，並和名為「About Bithumb.pdf「的誘餌文檔一起被發送：

該惡意XLS文檔宏中包含了一個Base64編碼的PowerRatankba下載腳本，它會從 hxxp://www.energydonate[.]com/images/character.gif獲取腳本，並保存為 C: UsersPublicDocumentsProxyAutoUpdate.ps1。以下為bithumb.xls中的Base64加密downloader腳本：

後門化加密貨幣應用安裝程序

最近，大量釣魚郵件以假冒加密貨幣程序下載更新或網站頁面為手段發起攻擊，假冒頁面的大多版本更新下載都指向官網地址，只有Windows版本下載更新指向架設在攻擊者網站的惡意程序，這些程序都是後門化的惡意更新，其中內置了下載PowerRatankba植入體的Python代碼命令。
其中一例攻擊樣本為，偽裝為比特幣黃金（BTG）錢包應用，和假冒惡意網站hxxps://xn—bitcoingld-lcb[.]org/，郵件內容中又內置了一個與合法比特幣黃金官網（https://bitcoingold.org/）相似的惡意網站hxxps://bitcoing?ld[.]org，注意後面網站字母o上多了兩點?。釣魚郵件發件地址為 info@xn—bitcoingod-8yb[.]com、info@xn—bitcoigold-o1b[.]com 和tech@xn—bitcoingld-lcb[.]org。

點擊該鏈接後，會自動從惡意網站bitcoing?ld下載hxxps://bitcoing?ld[.]org/bitcoingold.exe的Payload，另外，我們還從第三方病毒檢測服務中發現了其它偽裝為ElectronGold-1.1.1.exe 和 ElectronGold-1.1.exe 惡意Payload程序。

另一例攻擊樣本為，偽裝為Electrum的假冒更新，並會指向與Electrum合法官網（https://electrum.org/）相似的假冒網站（https://electrüm.org/），如下圖所示：

當受害者點擊主題為「New Electrum Wallet Released「的釣魚郵件鏈接之後，會跳轉到假冒網站https://electrüm.org/顯示錢包程序更新下載，上圖紅框下載鏈接最終會從另一惡意網站下載hxxps://xn—electrms2a[.]org/electrum-3.0.3.exe，其為後門化的PowerRatankba下載程序。

下圖為假冒網站https://electrüm.org的HTML頁面信息：

植入程序PowerRatankba描述和分析

PowerRatankba與Ratankba作用相同：作為第一階段網路偵察工具，並對感興趣的目標部署後續植入程序。與其前身類似，PowerRatankba利用HTTP進行C＆C通信，執行後，PowerRatankba首先通過BaseInfo HTTP POST方式，將包含計算機名稱、IP、操作系統啟動時間和安裝日期、系統語言等感染設備詳細信息發送到C＆C伺服器上。另外，PowerRatankba針對埠139、3389和445的打開/關閉/過濾，都有相應的進程執行列表，並且變體PowerRatankba.B還會通過WMIC命令執行輸出。

下圖為 PowerRatankba.A 的HTTP POST 信息回傳：

下圖為PowerRatankba.B的 WMIC 命令信息回傳：

PowerRatankba.A

PowerRatankba.A的HTTP GET請求信息：

PowerRatankba.A的C&C控制命令：

PowerRatankba.B

PowerRatankba.B的HTTP GET請求信息：

PowerRatankba.B的C&C控制命令：

PowerRatankba的持久駐留方式

為了實現持久駐留，PowerRatankba.A會將一個JS文件appView.js保存到受害者的系統啟動開始菜單中，每當受害者帳戶登錄系統時，該文件就會自動執行。持久化文件appView.js中包含XOR編碼的PowerShell腳本，用於從硬編碼URL中檢索Base64編碼的PowerShell命令，如URL地址腳本hxxp://macintosh.linkpc[.]net:8080/mainls.cs中，包含的XOR密鑰為」ZWZBGMINRQLUSVTGHWVYANJHTVUHTLTUGKOHIYOXQEFEIPHNGACNKMBWGRTJIHRANIIZJNNZHVF」。下圖為持久化文件appView.js：

PowerRatankba.B根據當前感染賬戶是否具備管理員許可權而存在兩種持久化技術，它會首先通過命令 「whoami /groups | findstr /c:」S-1-5-32-544」 | findstr /c:」Enabled group」 && goto:isadministrator』』檢查當前用戶許可權，如果當前用戶是管理員許可權，則會從硬編碼URL地址下載PowerShell腳本，並保存為C:/Windows/System32/WindowsPowerShell/v1.0/Examples/detail.ps1，最終會創建一個系統計劃任務，實現在啟動菜單中植入惡意程序下載腳本；如果當前用戶不是管理員許可權，則會從硬編碼URL地址中下載一個VB腳本，並保存到用戶系統啟動菜單中，如 PwdOpt.vbs或ProxyServer.vbs。

PowerRatankba.B第二階段植入- Gh0st RAT

PowerRatankba.B會向多種運行加密貨幣的應用設備中植入Gh0st遠控（RAT）， Gh0st遠控使用內存注入技術，經DES解密後發現，其反彈指向地址為 hxxp://180.235.133[.]235/img.gif ：

上述假冒的gif圖片實際為一個Base64編碼的加密器，它會把Gh0st遠控加密作為最終Payload部署，並實現AES在CBC模式下的加密，AES加密密鑰為」2B7E151628AED2A6ABF7158809CF4F3C「，AES初始值（IV）為「000102030405060708090A0B0C0D0E0F」 ：

銷售終端系統（POS）惡意軟體RatankbaPOS

除了瘋狂掠奪數百萬美元的加密貨幣之外，我們還發現 Lazarus 在韓國開展了針對銷售終端系統（POS）的數據竊取，而其利用程序RatankbaPOS很可能是首個被發現的，針對銷售終端系統（POS）的國家級黑客框架程序。我們對RatankbaPOS的傳播部署暫不清楚，但可從其C&C控制方式中一窺究竟。

RatankbaPOS分析

RatankbaPOS首先通過進程注入方式實現系統植入和持久化駐留，它會自動搜尋POS終端進程並完成數據竊取。一開始，它會創建註冊表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunigfxgpttray以實現持久化駐留，然後以」Nimo Software HTTP Retriever 1.0」為 User-Agent 信息，向硬編碼URLhxxp://www[.]webkingston[.]com/update.jsp?action=need_update發起HTTP命令請求，實現管理控制。如果C&C端無回應，則RatankbaPOS會進行進程注入。下圖為RatankbaPOS與C&C端的數據請求：

RatankbaPOS在執行進程注入時，首先會對進程列表創建一個CreateToolhelp32Snapshot快照，然後其dropper/injector會在其中搜索名為xplatform.exe的進程，如果有匹配進程，則會對該進程創建一個模塊列錶快照TH32CS_SNAPMODULE，然後使用Module32First和Module32Next迭代已載入的模塊，同時通過向任何大寫字母添加0x20將其轉換為小寫字母的方式，搜索對比目標線程為韓國KSNET POS產品的ksnetadsl.dll，如果匹配成功，則返回 xplatform.exe 進程號PID。最終，RatankbaPOS將以c： windows temp hkp.dll形式寫入磁碟，而hkp.dll將會注入到進程xplatform.exe中。

以下為RatankbaPOS的dropper/injector搜索匹配 ksnetadsl.dll的過程：

把hkp.dll注入到進程xplatform.exe中：

內存中的緩衝區替換：

最終， RatankbaPOS會向兩個遠程C&C地址www.energydonate[.]com和online-help.serveftp[.]com形成反彈控制：

目前，攻擊者還只是在韓國範圍內釋放RatankbaPOS，根據現在掌握的線索來看，我們認為這完全是針對韓國銷售終端系統（POS）產品的定向攻擊。

追溯歸因於 Lazarus Group 的證據

加密

2016年10月左右， Lazarus Group針對波蘭20家銀行和其它國家銀行進行了大規模攻擊，最後， BAE、Kaspersky、ESET、TrendMicro和Symantec都把這系列攻擊歸因為Lazarus Group，而2016年底至2017年初，Lazarus Group使用了少見的Spritz加密演算法實施了一波攻擊。之後，Lazarus Group又進行了改進升級，使用了獨特的 Spritz-xor加密方式。

編碼混淆

今年早些時候，攻擊者在針對韓國的數起水坑攻擊中，利用了M2Soft的ActiveX 0day漏洞來部署遠控和植入程序，這些攻擊中的一些技術與JS下載器和PowerRatankba的CHM線索重疊。在 M2Soft exploit和 PowerRatankba JS 下載器中都利用了同一種 JS 編碼混淆技術，這種技術是把其十六進位值替換在形為_0x[a-f0-9]{4}的數組中：

功能對比

Ratankba 和 PowerRatankba 功能類似，且會在 c:windows emp 中存儲植入程序和運行日誌：

另外，Ratankba、PowerRatankba和RatankbaPOS之間都有互相印證的C&C通信方式，而在 Ratankba和RatankbaPOS中都具備一個900秒的睡眠循環（ sleep loop）：

而且在對 M2Soft exploit 的混淆編碼分析中，我們發現了c:windows emp的目錄，該目錄同時被PowerRatankba用以CHM攻擊，被RatankbaPOS用以進行攻擊植入程序和日誌存儲：

代碼重疊

在2017年10月左右， Lazarus Group 以竊取金錢為目的，通過SWIFT系統入侵了台灣遠東國際商業銀行（FEIB），攻擊活動中的一個植入程序被作為載入器和擴展器使用，並被寫入到c:windows emp目錄下，該目錄也被 RatankbaPOS用來存儲植入程序和運行日誌，而且，RatankbaPOS和 FEIB 攻擊事件植入的擴展器（spreader ）之間有多處相同代碼，其中兩者進行持久化駐留的註冊表創建代碼相同，如下（左為EIB 攻擊事件植入擴展器程序，右為 RatankbaPOS的dropper）：

誘餌程序

我們發現，PowerRatankba的JS下載器誘餌文檔（transaction.pdf）與Lazarus Group之前使用的大量金融機構入侵事件誘餌技術相同。2017年8月，Lazarus Group假冒為韓國國家警察發送了惡意的EXCEL郵件附件，該附件利用了基於宏的VBScript XOR dropper，這種技術早被安全公司歸因為Lazarus Group的使用技術。

要說明的是，這種使用VBScript XOR的宏技術早期曾被應用到美國防務承包商員工的攻擊中，現在這種線索表明，一直進行間諜活動的Lazarus Group任務模式可能發生了重大轉變，他們正把攻擊目標轉向以經濟利益為目的的入侵滲透。此外，多個攻擊活動中使用的VBScript XOR宏技術代碼直接與PowerRatankba相同，有些攻擊事件代碼甚至在一周之內發生雷同，這可能間接說明，有多個朝鮮國家黑客團隊在針對不同目標執行攻擊任務。

C&C控制端

在台灣遠東國際商業銀行（FEIB）攻擊事件後，台灣金融安全資訊賬戶mickeyfintech在Facebook發布了攻擊事件的技術調查報告，其中曝光了攻擊者的使用域名trade.publicvm[.]com，該域名曾多次被用於PowerRatankba的C&C控制端，由於我們還無法確定該域名是否由Lazarus Group控制並發起了針對FEIB的攻擊，所以該證據僅當參考。

總結

該報告中，我們分析了多個隸屬於Lazarus Group的黑客工具和攻擊向量，它們包括一個新型的PowerShell植入程序和Gh0st遠控，以及針對韓國POS銷售終端系統的攻擊框架。詳細技術分析，請參考Proofpoint報告《pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf》

*參考來源：proofpoint，f

reebuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！