技術分析
RSS

macOS 用戶當心!北韓駭客 Lazarus 將目標瞄準虛擬貨幣交易用戶

12.22.2020Global Support & Service
Share:

摘要

TeamT5 近期掌握情資,北韓 APT 駭客 Lazarus 開發出 macOS 作業系統的惡意程式 MovieRAT,並試圖攻擊虛擬貨幣的使用者,藉此盜取帳戶內的虛擬貨幣。

技術分析

TeamT5 透過情資管道取得惡意樣本(53d9af8829a9c7f6f177178885901c01),其檔案名稱為 Esilet.dmg,是 macOS 的第三方應用程式安裝檔,如圖一所示。該樣本執行後,會連線至 esilet.com 網站,該網站為虛擬貨幣交易平台,但經過 TeamT5 深入追查後發現,esilet.com 於 2020 年 6 月 12 日註冊,因此可以確認為駭客近期所發動的攻擊行為,如圖二所示。
2020-12-1 圖一、Esilet.dmg 執行畫面

2020-12-2 圖二、esilet.com 網域註冊時間

esilet.com 是駭客特意架設的虛擬貨幣交易網站,並透過該網站的應用程式下載安裝連結來散佈惡意程式。根據網站的支援語系,推測駭客攻擊標的為英、法、德及中文的虛擬貨幣用戶,如圖三所示。

2020-12-3 圖三、esilet.com 支援英、法、德及中文語系

Esilet.dmg 執行後,會和中繼站連線獲取 config,config 的連線特徵為 "C2 + /update/ + {platform}.json",故 macOS 版本的 config 下載連結為 "https://esilet[.]com/update/darwin.json"。所下載的惡意程式經過 UPX 加殼,會存放於系統的暫存目錄後執行。經過分析,該惡意程式的通訊協議和 MoiveRAT 相同,故確定此惡意樣本是由 MovieRAT 改寫的變種程式。

2020-12-4 圖四、Esilet.dmg 下載 MovieRAT 的逆向分析截圖

當 MovieRAT 成功執行後,其嘗試加入 Launch Daemons/Services,將 property lists 檔案 com.applex.services.agent.agent.plist 放置於 {HomeDirectory}/Library/LaunchAgents 目錄,若寫入失敗則會寫入至 /Library/LaunchDaemons 之中,藉此達到開機後惡意程式自動執行的持續控制手法,如圖五所示。

2020-12-5 圖五、將 plist 寫入開機執行設定之中

其所連線的中繼站位址為固定並寫死(Hard Coding)於程式中,分別為 infodigitalnew.com、www.vinoymas.ch 及 sche-eg.org,如圖六所示。

2020-12-6 圖六、惡意中繼站位址寫死於程式碼中

樣本連線至中繼站後,駭客將會傳遞不同的指令碼(Command Code),樣本取得指令後會執行對應的動作,如上傳/下載檔案、指令執行及檔案/資訊回傳等,詳細資訊如圖七及表一所示。

2020-12-7 圖七、指令碼逆向分析結果


指令碼描述
0x21279E從中繼站下載檔案並存放於特定路徑
0x2AFCB2取得主機資訊
0x38CE55Heartbeat
0x3A65F8字串(string)轉換為數字(integer)
0x3A6A93傳送HTTP封包至中繼站
0x3B187D空指令
0x484B81上傳檔案至中繼站
0x48C82A透過HTTP從中繼站下載檔案
0x48D6FC執行指令(新加入的指令碼)
0x7FC0A4執行指令並回傳結果
表一、指令碼清單

TeamT5 經由該樣本關聯至 MovieRAT 後門程式,MovieRAT 是個輕量化的後門控制程式,支援最基本的檔案上傳/下載、指令執行及程序操作等功能。通常被駭客用於成功入侵後的第二階段控制(2nd-stage RAT)之用。先前所掌握的 MovieRAT 後門為 Windows 惡意程式,會透過 HTTP 通訊協定與中繼站連線,所使用的 Cookie 具有特定格式。
根據 TeamT5 的情資,將 MovieRAT 定位到駭客組織 Lazarus 身上。Lazarus 為北韓的駭客族群,擁有多起攻擊金融產業的紀錄,尤其特別針對 SWIFT 跨國轉帳交易系統和 ATM 自動櫃員機系統進行攻擊。推測為了替北韓政權籌措資金,好發展武器與實驗,故多選擇金融產業和具有關鍵技術的私人企業進行攻擊。過往的攻擊行動中,會在惡意程式內參雜俄文,企圖混淆分析人員。近期則是開始大量入侵攻擊虛擬貨幣交易所,如 Bithumb、Youbit 及 Yapizon 等,造成上百萬美元的金額損失。

IOCs(惡意攻擊指標)

IOC類型
53d9af8829a9c7f6f177178885901c01MD5
ae9f4e39c576555faadee136c6c3b2d358ad90b9SHA1
9ba02f8a985ec1a99ab7b78fa678f26c0273d91ae7cbe45b814e6775ec477598SHA256
9578c2be6437dcc8517e78a5de1fa975MD5
d2a77c31c3e169bec655068e96cf4e7fc52e77b8SHA1
dced1acbbe11db2b9e7ae44a617f3c12d6613a8188f6a1ece0451e4cd4205156SHA256
esilet.comDomain
www.kurunzi.newsDomain
oasismagazine.africaDomain
lerenmetsara.netDomain
https://infodigitalnew.com/wp-content/plugins/top.phpURL
https://www.vinoymas.ch/wp-content/plugins/top.phpURL
https://sche-eg.org/plugins/top.phpURL

影響與建議

  1. 透過 TeamT5 ThreatSonar 檢查是否有攻擊者活動跡象,ThreatSonar 支援 Windows、Linux 及 macOS 作業系統。
  2. 使用以下 yara rule 掃描主機系統,檢查是否存在 MovieRAT 後門程式。
    rule TeamT5_Lazarus_MovieRAT
    {
     meta:
         author        = "TeamT5"
         description   = "Lazarus - MovieRAT"
     strings:
         $cookie = "Cookie: _ga=%s%02d%d%d%02d%s; gid=%s%02d%d%03d%s" fullword
         $str_1 = "GA1.%d." fullword
         $str_2 = ".%d%05d%04d" fullword
     condition:
         all of them
    }
    2020-12-8
  3. 可將前述的 IOC 清單匯入既有的資安設備中,進行偵測阻擋防禦之用。
  4. 更多 APT 駭客族群資訊,可參考 TeamT5 ThreatVision 情資平台。

*圖片來源:Pixabay
12.22.2020Global Support & Service
Share:

Related Post

技術分析
8.13.2020

Github 不再只是版控平台,還是 APT 後門中繼站

APT, C2, Github, GithubRAT, 威脅情資, 資安情資, cyber threat intelligence, threat hunting