Lazarus近期攻击活动简报

一

背景概述

近日，安恒信息CERT捕获一批lnk钓鱼攻击事件。经过研判，我们推测本次攻击活动由Lazarus APT组织发起，攻击目标群体或是金融相关，诱饵文档名与利润相关。Lazarus组织攻击目标遍布全球，最早的活动时间可以追溯至2007年，近期主要攻击目标包括金融、虚拟货币交易所等。下图为部分诱饵文档。

诱饵文档

二

攻击流程

攻击活动主要使用压缩包方式投放诱饵文件，在解压后得到两个文件，一个经过密码保护的pdf文件和名为password.txt.lnk的诱饵文件。当打开password.txt.lnk时通过mshta执行远程代码，获取后续恶意模块。

攻击流程

三

样本分析

压缩包内容如下，pdf、xlsx文件受密码保护，诱惑用户点击Password.txt快捷方式。

压缩包内容

点击lnk快捷方式，将会调用mshta.exe执行远程js脚本，脚本代码用于释放”lulszvqu.js”并通过cscript.exe执行。

代码片段

开机启动目录下创建SppedUp.lnk用于持久化，创建password.txt并写入文档密码，用于打开受保护的诱饵文档。

代码片段

从远程服务器149.248.52[.]31获取后续代码并执行。

代码片段

我们未能获取到后续功能模块，按照以往活动中Lazarus攻击风格，后续模块极有可能是远控木马。

四

溯源关联

本次攻击活动中，攻击目标及基础设施与以往Lazarus组织攻击活动存在相似特征：

1. 攻击目标

a.本次攻击活动攻击目标为金融相关；

b.Lazarus长期针对金融机构发起攻击；

2. 诱饵文件

a.本次攻击活动使用压缩包投放诱饵文件，使用快捷方式lnk文件作为初始执行载荷；

b.以往行动中，Lazarus使用相同的方式发起攻击；

3. 域名

a.本次攻击活动使用wpsonline[.]co；

b.以往Lazarus活动中多次使用伪装成文件服务相关的域名；

五

总结

Lazarus组织攻击长期针对金融、虚拟货币平台发起攻击，该组织擅长使用社会工程学方式对攻击木马进行钓鱼。在本次攻击活动中，Lazarus组织的攻击目标与以往攻击目标相近，通过精心制作的钓鱼诱饵，多阶段加载执行最终载荷。攻击链路具有一定隐蔽性，且对社会工程学的掌握有较强的功底，有一定的针对性，不可不防！

六

IOC

https://wps.wpsonline[.]co/NycPUscrBDRtwgLAh+SKeYCp+3i2aTQY4Rmc4PL9+0Q=

http://edit.wpsonline[.]co/vdxpUoLpGMUlsHW1ph74K9bpzl3v2faXZIhWHIJoIEo=

https://wps.wpsonline[.]co/3lL6z8/TE1mdkRZQXJSpIQ5BNhTjADZf9ThNE9QEEUg=

https://edit.wpsonline[.]co/hdr9VSnBo8SUb0aXd4xXXoG9w+dTjc90QM9hNhcQ4zo=

https://app.stablehouses[.]info/9QhVkZPM/ckPTK0hmbh+Q3rn+jxDLMe8/XgLcwnnLok=

https://share.1drvmicrosoft[.]com/CQGnFg5S93DyELGbJM4MPL4iNqjDna57OrLjrcBINRs=

149.248.52[.]31

Profit and Loss (P&L) Statement.zip	7667A8A3B0DB1CF62A8FF41FF8A496C0
ScreenShot.png.lnk	6642FAEB930FCA442AE36863E7CC8EDD
SppedUp.lnk	701B6C2B2BE8CA2EC437007779D59EF0
Profit Sharing Plan.zip	D901C8CCDFFA72FDCF53C49F7E4EE1F1
SppedUp.lnk	D888103FE76FE701237DD98898D849CC
ScreenShot.zip	6DA453F9A4D0EC277B5D4760F9FAC07E

七

安恒信息CERT

安恒信息应急响应中心（CERT）是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成，联动安恒威胁情报中心，共同针对最新威胁情报主动发现，重大安全漏洞、安全事件进行深度挖掘、分析、溯源，并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。

安恒信息CERT

2022年9月