朝鲜黑客组织Lazarus使用特洛伊Defi应用程序传播恶意软件。Lazarus是朝鲜知名黑客组织,首要目标是经济利益,尤其是与加密货币相关的业务。
随着NFT和Defi的不断发展,拉撒路黑客在经济领域的攻击目标也在不断发展。
近日,研究人员发现了朝鲜黑客组织Lazarus使用的一款木马Defi应用程序,该程序编译于2021年11月。
该应用程序包含一个合法的Defi钱包,用于保存和管理加密货币钱包,并在执行时植入恶意文件。
注入的恶意软件是一个功能齐全的后门。
背景。
2021年12月,研究人员发现一个上传到VirusTotal的可用文件,似乎是与Defi相关的合法应用程序。
该文件是在2021年11月编译的,当它被执行时,应用程序会释放一个恶意文件和合法应用程序的安装程序。
然后,恶意软件将用特洛伊木马应用程序覆盖合法应用程序。
最后,特洛伊木马应用程序将从磁盘中删除。
初始感染链。
研究人员怀疑,攻击者通过鱼叉式钓鱼电子邮件引诱用户执行木马应用程序。
感染过程始于特洛伊木马的应用。
该安装包伪装成Defi Wallet程序,但其中包含恶意特洛伊木马。
执行后,将获得下一个恶意软件路径(C:\Program Data\Microsoft\googlechrome.exe),并使用单字节XOR进行解密。
在创建下一阶段恶意软件的过程中,安装程序会将包含MZ头的前8个字节写入GoogleChrome.exe文件。
然后,恶意软件将从正文加载资源Citrix_Meetings并将其保存到路径C:\Program Data\Microsoft\CM202025.exe。
生成的文件是合法的Defi Wallet应用程序。
最后,使用之前创建的恶意软件文件名作为参数执行:
C:\ProgramData\Microsoft\GoogleChrome.exe[当前文件名]。
创建一个后门。
由此产生的恶意软件是伪装成Google Chrome浏览器的特洛伊木马应用程序。
启动后,恶意软件会在试图将合法文件应用程序C:\Program Data\Microsoft\CM202025.exe的路径复制到命令行参数之前检查参数是否提供,这意味着覆盖原始的特洛伊木马安装程序,以隐藏先前的存在。
然后,恶意软件会执行合法文件,向用户展示合法的安装过程,以欺骗受害者。
用户执行新安装的程序后,将显示一个由开放源代码构建的Defi钱包应用程序。
图3应用程序屏幕截图。
然后,恶意软件开始初始化配置信息,包括C2服务器地址、受害者ID值、时间等。
从配置结构来看,恶意软件可以配置五个C2地址。
然后随机选择一个C2地址发送信标信号。
如果C2返回预期值,恶意软件将启动后门操作。
在与C2通信后,恶意软件通过预定义的方法对数据进行加密。
加密由RC4和硬编码密钥0xD5A3实现。
然后,恶意软件将生成带有硬编码名称的POS参数。
将请求类型(MsgID)、受害者ID和随机生成的值进行融合,生成jessid参数。
另外,Cookie参数保存了4个随机生成的4字节值。
这些值还使用RC4和Base64编码进行加密。
通过对C2脚本的分析,研究人员发现,恶意软件不仅使用了jessid参数,还使用了jcookie参数。
随后的HTTP请求表示恶意软件试图使用请求类型60d49d98和随机生成的Cookie值连接到C2。
根据C2的响应,恶意软件将执行指令的后门任务。
然后执行不同的功能来收集系统信息并控制受害者的机器。
基础设施。
在这次攻击中,Lazarus组织使用了被入侵的位于韩国的网络服务器。
研究人员从其中一台被黑客攻击的服务器上获得了相应的C2脚本。