Gsws25博客

菜单

Gswsfh
发布于 2025-07-30 / 95 阅读
0
0

💣 深度解析:Lazarus 新型多阶段攻击——“技能评估”背后的核能渗透战

#APT报告

一、事件概述:一场伪装成“招聘”的国家级网络攻击

朝鲜背景的 APT 组织 Lazarus(又名 Zinc、APT38)再次升级其攻击手法。在 2024 年底的一次针对核能相关机构的定向攻击中,Lazarus 利用一个精心设计的“技能评估”(Skills Assessment)骗局,成功渗透目标网络。

与以往不同的是,此次攻击不仅延续了其标志性的社会工程策略,还引入了多种新型恶意软件,包括 CookiePlus、MISTPEN、RollMid 和一个未公开的 LPEClient 新变种,构建了一条高度模块化、分阶段演进的复杂攻击链。

这不仅是技术的升级,更是一次战略级供应链渗透的典范

二、攻击路径:从“假招聘”到“真后门”

1. 初始入口:伪装成 IT 岗位技能测试

Lazarus 通过 LinkedIn、Telegram、WhatsApp 等平台,伪装成航空航天、国防或核能企业的人力资源代表,向目标员工发送“工作机会”。

  • 攻击者声称需要进行“远程技能评估”;

  • 提供一个压缩包(ZIP 或 ISO 文件),内含一个“定制版 VNC 工具”;

  • 要求受害者使用该工具连接到指定 IP 地址,以“展示操作能力”。

📌 社会工程核心
利用求职者希望表现专业的心理,诱导其主动运行恶意程序,规避了传统钓鱼邮件的防御机制。

2. 感染链启动:DLL 侧加载 + 内存加载

场景一:Trojanized VNC(如 AmazonVNC.exe)

  • 可执行文件是 TightVNC 的修改版,界面正常,具备完整功能;

  • 当用户输入远程 IP 后,程序会基于该 IP 生成一个 XOR 密钥;

  • 使用该密钥解密内嵌资源,释放出名为 Ranid Downloader 的内存加载器;

  • Ranid 将后续载荷(如 CookiePlus)直接注入内存执行,无文件落地

场景二:合法 VNC + 恶意 DLL(如 vnclang.dll)

  • 压缩包内包含合法的 UltraVNC Viewer(vncviewer.exe);

  • 同时附带一个名为 vnclang.dll 的恶意 DLL;

  • 利用 Windows 的 DLL 加载机制,合法程序会优先加载同目录下的恶意 DLL,实现“白加黑”攻击;

  • 该 DLL 被确认为 MISTPEN 恶意框架的加载器

🔍 技术亮点
Lazarus 采用“双路径投放”策略,既可用完全篡改的软件,也可用“合法+恶意”组合,适应不同防御环境。

三、核心组件:新型恶意软件家族登场

1. CookiePlus:模块化下载器,支持插件扩展

CookiePlus 是 Lazarus 近期推出的新型模块化后门,具备以下特性:

  • 支持插件化加载:可动态下载并执行多个功能模块;

  • 通信加密:使用 RSA 加密与 C2 通信;

  • 已知插件

    • sleep.dll:实现延迟执行,规避沙箱检测;

    • 其他插件可能包括数据窃取、横向移动等功能。

📌 战术意义
CookiePlus 的出现表明 Lazarus 正在构建一个可扩展的攻击平台,而非单一功能的木马。

2. MISTPEN:新型加载器,连接多阶段攻击

MISTPEN 是一个相对新颖的恶意加载器,其主要功能是:

  • 从 C2 服务器下载后续载荷;

  • 将其命名为 [RandomID]_media.dat

  • 在本次攻击中,它成功获取了两个关键载荷:

    1. RollMid(Avast 2024 年披露):一个功能完整的后门;

    2. 新型 LPEClient:Lazarus 的经典远程控制工具的新变种。

🔍 归因线索
MISTPEN 的通信协议与已知 Lazarus C2 一致,是确认攻击归属的关键证据。

3. ServiceChanger:利用合法服务实现持久化

为了实现长期驻留,Lazarus 使用了名为 ServiceChanger 的工具。

攻击流程:

  1. 停止合法的 ssh-agent 服务;

  2. 将恶意的 libcrypto.dll 写入系统目录;

  3. 重启 ssh-agent 服务;

  4. 由于 ssh-agent 依赖 libcrypto.dll,系统会自动加载恶意 DLL,实现DLL 侧加载

📌 与 Kimsuky 的区别
虽然名称相似,但 Lazarus 的 ServiceChanger 不创建新服务,而是劫持现有服务,更加隐蔽。

4. LPEClient:经典后门的进化

LPEClient 是 Lazarus 的标志性远程控制工具,在本次攻击中出现了新变种。

  • 支持与 C2 服务器通信,接收指令;

  • 可执行文件操作、进程管理、命令执行等;

  • 本次变种的 C2 服务器与初始攻击域名(如 smartmanagerex[.]com)同属一家主机服务商,表明攻击者统一规划基础设施

四、攻击目标与战略意图

✅ 已知受害者:

  • 至少两家与核能领域相关的组织

  • 攻击发生在一个月内,且针对同一机构的多名员工;

  • 表明 Lazarus 对目标有长期监控和精准画像

🔍 攻击动机分析:

  • 情报收集:获取核技术、安全协议或内部通讯;

  • 供应链渗透:通过员工设备进入核心网络;

  • 资金筹措:Lazarus 长期从事加密货币盗窃,可能为后续攻击铺路。

五、归因分析:为何确认是 Lazarus?

尽管使用了新型工具,但多项证据指向 Lazarus:

证据

分析

社会工程手法一致

“假招聘”是 Lazarus 标志性战术(Operation DreamJob)

C2基础设施关联

多个域名和IP归属同一攻击集群

工具链重叠

使用 MISTPEN、LPEClient、CookiePlus 等已知家族

TTPs(战术、技术与程序)一致

DLL侧加载、内存注入、技能评估骗局等均符合历史模式

卡巴斯基评估:高置信度归因于 Lazarus 组织。

六、技术演进:从“单一木马”到“模块化平台”

Lazarus 的攻击模式正发生深刻变革:

传统模式

当前模式

使用单一后门(如 Bladabindi)

构建模块化框架(如 CookiePlus)

依赖0day漏洞

依赖社会工程 + 合法工具滥用

快速获利(勒索、挖矿)

长期潜伏、情报窃取

独立工具链

多工具协同(Downloader → Loader → Backdoor)

这种“分阶段、模块化、可扩展”的架构,极大提升了攻击的灵活性和隐蔽性。

七、防御难点与挑战

❗ 三大反检测技术:

技术

说明

无文件攻击

Ranid Downloader 在内存中执行,不留痕迹

白加黑攻击

利用合法 VNC 软件加载恶意 DLL,绕过白名单

持久化劫持

通过 ServiceChanger 劫持ssh-agent,实现系统级驻留

八、防御建议

✅ 企业应采取的措施:

措施

说明

禁止员工使用未知来源的远程工具

如非必要,禁用 TightVNC、UltraVNC 等软件

监控 DLL 侧加载行为

检测合法程序加载非系统路径 DLL 的情况

限制服务修改权限

防止普通用户修改ssh-agent等关键服务

部署 EDR 解决方案

检测内存注入、异常网络连接、C2 通信等行为

加强员工安全意识培训

教育员工识别“假招聘”骗局,不随意运行外部软件

审计第三方软件供应链

确保使用的开源工具未被篡改

✅ 个人用户建议:

  • 不随意下载和运行“技能测试”类软件;

  • 使用官方渠道获取远程控制工具;

  • 安装可靠的安全软件。

九、趋势洞察:APT 攻击的“职业化”特征

Lazarus 的“技能评估”攻击揭示了现代 APT 的“职业化”趋势:

特征

表现

角色扮演

攻击者扮演 HR、猎头、技术主管

流程化操作

从联系、发送、指导到渗透,形成标准化流程

工具专业化

开发专用加载器、下载器、持久化工具

长期运营

同一目标持续攻击数月,不急于变现

这已不再是“黑客行为”,而是一场有组织、有预算、有战略目标的网络战争

十、结语

Lazarus 的这次攻击再次证明:

最危险的威胁,不是来自未知的漏洞,而是来自你主动运行的“合法软件”

它不靠病毒传播,而是靠人性的弱点——对机会的渴望、对权威的信任、对技术的依赖。

面对这类“知人知面”的对手,我们必须从“技术防御”转向“人技结合”的综合防护体系。不仅要修补漏洞,更要教育用户、理解攻击者的心理战术、预测其下一步行动

唯有如此,才能在这场无声的战争中,守住我们的数字边疆。

标题:沉寂十年后,传奇APT组织“...
🕵️‍♂️ 深度解析:Bella...

评论