信息来源:A cascade of compromise: unveiling Lazarus' new campaign | Securelist (2023年10月27日)
一、事件概述:Lazarus借供应链漏洞卷土重来,攻击链条高度自动化
2022年,卡巴斯基安全实验室披露了一起由著名朝鲜背景APT组织Lazarus发动的新型供应链攻击。与以往直接针对最终目标不同,此次攻击的核心策略是长期潜伏于软件供应商内部,利用其合法数字签名和分发渠道,将恶意代码注入到可信软件更新中,从而实现对下游客户的“无感渗透”。
该攻击最早可追溯至对一家提供加密通信服务的软件开发商的入侵。尽管该厂商此前已多次遭遇Lazarus攻击,并发布了安全补丁,但由于部分客户系统未及时更新,攻击者仍能通过已知漏洞持续渗透。这一事件暴露了现代企业面临的严峻现实:一次成功的供应链攻击,足以让成百上千的“下游”组织在毫不知情的情况下沦为受害者。
更令人震惊的是,本次攻击中出现了名为SIGNBT的新型内存驻留型后门,以及长期活跃的LPEClient工具,两者协同工作,构建了一个高度自动化、低噪声、持久化的远程控制网络。这标志着Lazarus的攻击模式已从“单点突破”进化为“生态级投毒”。
二、攻击路径:从供应链切入的“三重跳板”攻击链
1. 初始入口:利用未修复的已知漏洞攻陷软件供应商
攻击者并未使用零日漏洞,而是利用了目标软件中存在的已公开但未广泛修补的安全缺陷。这些漏洞多与配置不当、权限提升或DLL劫持相关。由于该软件被大量企业和政府机构用于安全通信,一旦其更新包被植入恶意代码,即可实现“一次污染,全域传播”。
值得注意的是,攻击者选择的是那些补丁覆盖率低、更新周期长的系统环境,充分体现了其对IT运维节奏的深刻理解。
2. 漏洞利用:DLL侧加载(DLL Side-Loading)实现持久化
在成功入侵供应商服务器后,攻击者部署了一个名为SIGNBT Loader的加载器,其核心机制是DLL劫持:
创建一个名为
ualapi.dll的恶意动态链接库,存放于系统目录;利用Windows打印服务(
spoolsv.exe)自动加载特定DLL的特性,诱使其加载ualapi.dll;每次系统重启时,该DLL都会随
spoolsv.exe进程一同加载,实现开机自启。
这种技术并非首次出现,Lazarus曾在其Gopuram恶意软件中使用过类似手法,显示出该组织对特定持久化机制的长期偏好。
3. 感染链演进:内存加载SIGNBT后门 + LPEClient二次投递
加载器运行后,执行以下操作:
读取加密载荷:从硬编码路径
C:\Windows\system32\config\systemprofile\appdata\Local\tw-100a-a00-e14d9.tmp读取加密数据;AES解密:使用前32字节作为密钥,解密剩余内容,得到SIGNBT可执行文件;
内存注入:将SIGNBT直接加载至内存运行,避免磁盘写入;
配置加载:读取同目录下的
tw-100b-a00-e14d9.tmp文件,获取C2地址、休眠时间等参数;部署LPEClient:通过SIGNBT的
deploy命令,进一步在内存中释放LPEClient工具,用于深度侦察与横向移动。
整个过程完全基于内存操作,传统基于文件扫描的杀毒软件难以察觉。
三、核心组件:SIGNBT与LPEClient的技术剖析
1. SIGNBT Loader:基于开源代码改造的隐蔽加载器
该加载器本身不具破坏性,仅作为“桥梁”,专为投递SIGNBT服务。
2. SIGNBT后门:模块化C2通信引擎
SIGNBT是一个功能完备的远程访问木马(RAT),其最大特点是高度结构化的C2通信协议:
每次通信均采用多层加密与混淆:
构造24字节会话ID(含主机名哈希、随机数);
生成24字节随机密钥进行XOR加密;
Base64编码后拼接7个随机HTTP参数名(从预设100个中选取),伪装成正常网页请求;
验证回包是否包含特定HTML脚本(
<!DOCTYPE html><html>...<script>),防止中间人劫持。
这种设计极大提升了流量检测难度。
3. LPEClient:老将升级,专注内存操作与反检测
LPEClient最早发现于2020年针对国防承包商的攻击中,本次活动中已显著进化:
纯内存执行:所有组件均不落地,仅在RAM中运行;
反钩子技术:主动检测并恢复被EDR挂钩的系统调用(syscall),绕过用户态监控;
内存修复:还原被篡改的系统DLL内存段,隐藏自身存在;
功能聚焦:主要用于收集系统信息、下载后续载荷、执行内存注入。
它在攻击链中扮演“第二阶段武器库”的角色,通常由SIGNBT远程部署。
四、攻击目标与归因分析
✅ 受害者画像:
地理位置:韩国、越南、印度、美国、欧洲多国均有分布;
行业分布:软件供应商、国防工业、金融、加密货币交易所;
语言/文化特征:C2域名多使用韩语拼音(如
yoohannet.kr、hankooktop.com),暗示主要目标位于朝鲜半岛周边。
🔍 攻击动机推测:
呈现双重目标特征:
战略情报收集:针对国防承包商、核能工程师,意图获取敏感技术资料;
经济利益驱动:攻击加密货币行业(如2023年7月事件),通过盗取私钥实现资金窃取。
这与Lazarus组织长期以来“为国家创汇”的战略定位高度吻合。
🔎 归因线索:
TTPs一致性:使用
spoolsv.exe劫持、Gopuram关联、LPEClient复用等技术,与历史Lazarus活动完全匹配;IoC重叠:多个C2域名(如
yoohannet.kr、friendmc.com)曾出现在过往Lazarus攻击中;基础设施复用:部分服务器曾用于3CX供应链攻击(2023年),且LPEClient在其中同样作为初始载荷;
开发风格一致:代码中大量使用韩语注释、朝鲜式命名习惯(如
tw-100a-a00-e14d9.tmp)。
MITRE ATT&CK映射进一步确认其行为模式属于典型Lazarus特征。
五、技术演进与战术升级
相比早期攻击,本次Lazarus行动展现出三大跃迁:
从“直接攻击”到“生态渗透”
不再局限于攻击单一目标,而是通过污染上游供应商,实现“一箭多雕”的规模化入侵。从“文件落地”到“纯内存操作”
SIGNBT与LPEClient均采用无文件攻击(Fileless Attack),彻底规避磁盘检测。从“通用后门”到“智能筛选”
加载器内置MachineGuid校验机制,只对特定目标激活,极大降低暴露风险。
此外,攻击者开始使用合法网站作为C2跳板(如企业官网、教育机构页面),使恶意流量混迹于正常业务之中,形成“流量 camouflage”。
六、防御建议
✅ 企业应采取的措施:
✅ 个人用户建议:
及时更新所有软件,尤其是安全类产品;
警惕自动弹出的“更新提示”,应通过官方渠道手动验证;
使用具备内存行为检测能力的安全软件。
七、趋势洞察
此次Lazarus攻击揭示了当前APT攻击的几大关键趋势:
供应链成为主战场:攻击者更倾向于“攻一点,控一片”,软件供应商、云服务商成为高价值目标;
无文件攻击常态化:内存驻留、DLL劫持、反射加载等技术已成为高级威胁标配;
攻击组织能力分层:Lazarus等顶级组织已具备“漏洞挖掘—载荷开发—供应链渗透—自动化运营”的全链条能力;
攻击即服务(AaaS)兴起:同一工具链(如LPEClient)被用于不同目标、不同行业的多起攻击,显示出模块化、产品化特征。
未来,针对“可信实体”的信任滥用攻击将成为网络安全的最大挑战。
八、结语
Lazarus的这次“回归”,不是一次简单的技术展示,而是一场精心策划的数字生态战。它告诉我们:在万物互联的时代,你的安全不仅取决于自己,更取决于你所依赖的每一个“上游”。
面对如此狡猾而强大的对手,企业不能再满足于“打补丁、装杀毒”的被动防御。必须构建纵深防御体系,从资产清点、权限管控、日志审计到威胁狩猎,形成闭环响应能力。唯有如此,才能在这场看不见硝烟的战争中,守住自己的数字疆土。