概括

Lazarus APT组织是一个长期活跃的组织，因为2014年攻击索尼影业而开始受到广泛关注，该组织早期主要针对韩国，美国等国家的政府机构进行攻击活动，以窃取情报等信息为目的。自2014年后，该组织开始针对全球金融机构，加密交易机构等为目标，进行敛财活动。

近期，奇安信威胁情报中心红雨滴团队在日常的APT样本追踪中，捕获一例利用心理测验为诱饵的Lazarus攻击样本，该样本通过宏释放powershell脚本执行,从而控制受害者计算机。奇安信威胁情报中心通过溯源关联，捕获另一例针对Macos的攻击样本，并在发现此次攻击活动的第一时间通过社交媒体进行预警。

样本分析

诱饵文档

本次攻击活动攻击者使用心里测验相关内容为诱饵，诱导用户启用宏：

启用宏需点击笑脸，从而执行恶意宏代码：

之后将powershell代码写入到%temp%目录下并通过powershell.exe执行：

Powershell

释放的powershell脚本是一个后门，硬编码了三个c2：

执行后与内置的c2服务器进行通信，若通信失败，则休眠一段事件尝试连接其他c2：

从c2获取命令执行，根据不同的命令执行不同功能：

支持的命功能如下表所示：

获取本机计算机名，ip地址，系统版本号等信息上传：

通过cmd执行c2命令：

更新c2服务器配置：

上传指定文件：

下载文件保存到指定位置：

Macos Backdoor

经关联分析，奇安信威胁情报中心关联使用相同c2针对MacOS 平台的攻击样本，样本基本信息如下：

该文件包含一个正常的.FlashPlayer文件，而恶意程序隐藏在Flash Player中：

运行后首先从偏移1340，截取大小0x6c74的数据保存到.FlashUpdateCheck：

之后写入配置文件com.adobe.macromedia.flash.plist，并通过launchctl load加载配置文件，从而使配置文件生效实现.FlashUpdateCheck的自启动：

使用chmod命令提升.FlashUpdateCheck权限：

该文件具有后门功能，功能与powershell后门基本一致。同样硬编码了三个c2：

运行后与c2通信获取c2指令：

之后根据c2指令执行不同功能：

功能列表如下：

溯源关联

通过对本次攻击活动的后门以及ttps分析，奇安信威胁情报中心判断本次攻击活动的幕后黑手是Lazarus。

相似的后门

Powershell基本一致：

Macos 样本主要流程基本一致：

且c2在奇安信威胁情报大数据平台（ti.qianxin.com）已打上Lazarus标签：

综上，本次捕获的攻击样本应该是出自臭名昭著的Lazarus APT团伙。

总结

Lazarus 团伙是一个长期活跃的APT组织，武器库十分强大，拥有对多平台进行攻击的能力，近年来，该团伙多次被安全厂商披露，但从未停止进攻的脚本，反而越发活跃，攻击目标也越发广泛。同时，该团伙也多次针对国内进行攻击活动，企业用户在日常的工作中，切勿随意打开来历不明的邮件附件。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

IOC

6850189bbf5191a76761ab20f7c630ef

a8096ddf8758a79fdf68753190c6216a

hxxps://crabbedly.club/board.php

hxxps://craypot.live/board.php

htxxps://indagator.club/board.php

参考链接：

https://securelist.com/cryptocurrency-businesses-still-being-targeted-by-lazarus/90019/

*本文作者：奇安信威胁情报中心，转载请注明来自FreeBuf.COM