一、事件概述:一场伪装成“招聘”的国家级网络攻击
朝鲜背景的 APT 组织 Lazarus(又名 Zinc、APT38)再次升级其攻击手法。在 2024 年底的一次针对核能相关机构的定向攻击中,Lazarus 利用一个精心设计的“技能评估”(Skills Assessment)骗局,成功渗透目标网络。
与以往不同的是,此次攻击不仅延续了其标志性的社会工程策略,还引入了多种新型恶意软件,包括 CookiePlus、MISTPEN、RollMid 和一个未公开的 LPEClient 新变种,构建了一条高度模块化、分阶段演进的复杂攻击链。
这不仅是技术的升级,更是一次战略级供应链渗透的典范。
二、攻击路径:从“假招聘”到“真后门”
1. 初始入口:伪装成 IT 岗位技能测试
Lazarus 通过 LinkedIn、Telegram、WhatsApp 等平台,伪装成航空航天、国防或核能企业的人力资源代表,向目标员工发送“工作机会”。
- 攻击者声称需要进行“远程技能评估”;
- 提供一个压缩包(ZIP 或 ISO 文件),内含一个“定制版 VNC 工具”;
- 要求受害者使用该工具连接到指定 IP 地址,以“展示操作能力”。
📌 社会工程核心:
利用求职者希望表现专业的心理,诱导其主动运行恶意程序,规避了传统钓鱼邮件的防御机制。
2. 感染链启动:DLL 侧加载 + 内存加载
场景一:Trojanized VNC(如 AmazonVNC.exe)
- 可执行文件是 TightVNC 的修改版,界面正常,具备完整功能;
- 当用户输入远程 IP 后,程序会基于该 IP 生成一个 XOR 密钥;
- 使用该密钥解密内嵌资源,释放出名为 Ranid Downloader 的内存加载器;
- Ranid 将后续载荷(如 CookiePlus)直接注入内存执行,无文件落地。
场景二:合法 VNC + 恶意 DLL(如 vnclang.dll)
- 压缩包内包含合法的 UltraVNC Viewer(vncviewer.exe);
- 同时附带一个名为
vnclang.dll的恶意 DLL; - 利用 Windows 的 DLL 加载机制,合法程序会优先加载同目录下的恶意 DLL,实现“白加黑”攻击;
- 该 DLL 被确认为 MISTPEN 恶意框架的加载器。
🔍 技术亮点:
Lazarus 采用“双路径投放”策略,既可用完全篡改的软件,也可用“合法+恶意”组合,适应不同防御环境。
三、核心组件:新型恶意软件家族登场
1. CookiePlus:模块化下载器,支持插件扩展
CookiePlus 是 Lazarus 近期推出的新型模块化后门,具备以下特性:
- 支持插件化加载:可动态下载并执行多个功能模块;
- 通信加密:使用 RSA 加密与 C2 通信;
- 已知插件:
sleep.dll:实现延迟执行,规避沙箱检测;- 其他插件可能包括数据窃取、横向移动等功能。
📌 战术意义:
CookiePlus 的出现表明 Lazarus 正在构建一个可扩展的攻击平台,而非单一功能的木马。
2. MISTPEN:新型加载器,连接多阶段攻击
MISTPEN 是一个相对新颖的恶意加载器,其主要功能是:
- 从 C2 服务器下载后续载荷;
- 将其命名为
[RandomID]_media.dat; - 在本次攻击中,它成功获取了两个关键载荷:
- RollMid(Avast 2024 年披露):一个功能完整的后门;
- 新型 LPEClient:Lazarus 的经典远程控制工具的新变种。
🔍 归因线索:
MISTPEN 的通信协议与已知 Lazarus C2 一致,是确认攻击归属的关键证据。
3. ServiceChanger:利用合法服务实现持久化
为了实现长期驻留,Lazarus 使用了名为 ServiceChanger 的工具。
攻击流程:
- 停止合法的
ssh-agent服务; - 将恶意的
libcrypto.dll写入系统目录; - 重启
ssh-agent服务; - 由于
ssh-agent依赖libcrypto.dll,系统会自动加载恶意 DLL,实现DLL 侧加载。
📌 与 Kimsuky 的区别:
虽然名称相似,但 Lazarus 的 ServiceChanger 不创建新服务,而是劫持现有服务,更加隐蔽。
4. LPEClient:经典后门的进化
LPEClient 是 Lazarus 的标志性远程控制工具,在本次攻击中出现了新变种。
- 支持与 C2 服务器通信,接收指令;
- 可执行文件操作、进程管理、命令执行等;
- 本次变种的 C2 服务器与初始攻击域名(如
smartmanagerex[.]com)同属一家主机服务商,表明攻击者统一规划基础设施。
四、攻击目标与战略意图
✅ 已知受害者:
- 至少两家与核能领域相关的组织;
- 攻击发生在一个月内,且针对同一机构的多名员工;
- 表明 Lazarus 对目标有长期监控和精准画像。
🔍 攻击动机分析:
- 情报收集:获取核技术、安全协议或内部通讯;
- 供应链渗透:通过员工设备进入核心网络;
- 资金筹措:Lazarus 长期从事加密货币盗窃,可能为后续攻击铺路。
五、归因分析:为何确认是 Lazarus?
尽管使用了新型工具,但多项证据指向 Lazarus:
| 证据 | 分析 |
|---|---|
| 社会工程手法一致 | “假招聘”是 Lazarus 标志性战术(Operation DreamJob) |
| C2基础设施关联 | 多个域名和IP归属同一攻击集群 |
| 工具链重叠 | 使用 MISTPEN、LPEClient、CookiePlus 等已知家族 |
| TTPs(战术、技术与程序)一致 | DLL侧加载、内存注入、技能评估骗局等均符合历史模式 |
✅ 卡巴斯基评估:高置信度归因于 Lazarus 组织。
六、技术演进:从“单一木马”到“模块化平台”
Lazarus 的攻击模式正发生深刻变革:
| 传统模式 | 当前模式 |
|---|---|
| 使用单一后门(如 Bladabindi) | 构建模块化框架(如 CookiePlus) |
| 依赖0day漏洞 | 依赖社会工程 + 合法工具滥用 |
| 快速获利(勒索、挖矿) | 长期潜伏、情报窃取 |
| 独立工具链 | 多工具协同(Downloader → Loader → Backdoor) |
这种“分阶段、模块化、可扩展”的架构,极大提升了攻击的灵活性和隐蔽性。
七、防御难点与挑战
❗ 三大反检测技术:
| 技术 | 说明 |
|---|---|
| 无文件攻击 | Ranid Downloader 在内存中执行,不留痕迹 |
| 白加黑攻击 | 利用合法 VNC 软件加载恶意 DLL,绕过白名单 |
| 持久化劫持 | 通过 ServiceChanger 劫持ssh-agent,实现系统级驻留 |
八、防御建议
✅ 企业应采取的措施:
| 措施 | 说明 |
|---|---|
| 禁止员工使用未知来源的远程工具 | 如非必要,禁用 TightVNC、UltraVNC 等软件 |
| 监控 DLL 侧加载行为 | 检测合法程序加载非系统路径 DLL 的情况 |
| 限制服务修改权限 | 防止普通用户修改ssh-agent等关键服务 |
| 部署 EDR 解决方案 | 检测内存注入、异常网络连接、C2 通信等行为 |
| 加强员工安全意识培训 | 教育员工识别“假招聘”骗局,不随意运行外部软件 |
| 审计第三方软件供应链 | 确保使用的开源工具未被篡改 |
✅ 个人用户建议:
- 不随意下载和运行“技能测试”类软件;
- 使用官方渠道获取远程控制工具;
- 安装可靠的安全软件。
九、趋势洞察:APT 攻击的“职业化”特征
Lazarus 的“技能评估”攻击揭示了现代 APT 的“职业化”趋势:
| 特征 | 表现 |
|---|---|
| 角色扮演 | 攻击者扮演 HR、猎头、技术主管 |
| 流程化操作 | 从联系、发送、指导到渗透,形成标准化流程 |
| 工具专业化 | 开发专用加载器、下载器、持久化工具 |
| 长期运营 | 同一目标持续攻击数月,不急于变现 |
这已不再是“黑客行为”,而是一场有组织、有预算、有战略目标的网络战争。
十、结语
Lazarus 的这次攻击再次证明:
最危险的威胁,不是来自未知的漏洞,而是来自你主动运行的“合法软件”。
它不靠病毒传播,而是靠人性的弱点——对机会的渴望、对权威的信任、对技术的依赖。
面对这类“知人知面”的对手,我们必须从“技术防御”转向“人技结合”的综合防护体系。不仅要修补漏洞,更要教育用户、理解攻击者的心理战术、预测其下一步行动。
唯有如此,才能在这场无声的战争中,守住我们的数字边疆。