导语:Andariel是一个和Lazarus 有关的APT组织,以在2022年年中使用DTrack恶意软件和Maui勒索软件而闻名。
Andariel是一个和Lazarus 有关的APT组织,以在2022年年中使用DTrack恶意软件和Maui勒索软件而闻名。DTrack 是一个模块化后门,具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。在同一时期,Andariel还在不断利用Talos和Ahnlab报告的Log4j漏洞。自从2021年11月曝光的Log4j漏洞已成为一大“持续性流行漏洞”,将在未来多年引发持续风险,换言之,这种无所不在的软件库的未经修复版本,将在未来十年或更长时间内继续留存在各类系统当中。同时,美国网络安全审查委员会预测,鉴于 Log4j的普遍存在,在未来十年中,易受攻击的版本仍将存在于系统中,Log4j漏洞不仅影响直接使用该库的基于Java的应用程序和服务,还影响许多其他流行的依赖它的Java组件和开发框架,包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、ApacheKafka。当然Andariel还经常使用几个恶意软件,如YamaBot和MagicRat,但也有更新版本的NukeSped,当然还有DTrack。
卡巴斯基实验室的研究人员最近发现了一个以前未曾发现的恶意软件家族以及Andariel攻击时的TTP策略。
攻击过程分析
Andariel通过执行Log4j漏洞来感染计算机,而Log4j漏洞又会从C2服务器下载更多恶意软件。不过,研究人员无法捕捉到他们下载的第一个恶意软件,但分析发现下载的DTrack是Andariel最先使用的后门程序。通过分析攻击者执行的命令,可以发现这些命令是由人类操作员执行的,从错误和打字错误的数量来看,很可能是一个没有经验的操作员。
注意“Program”是如何错拼成“Prorgam”的。另一个有趣的发现是,攻击者的系统环境使用了葡萄牙语,他们花了大量的时间来学习执行cmd.еxe /c net localgroup命令代码:
研究人员还能够识别一组现成的工具Andariel,这些工具在命令执行阶段安装并运行,然后用于进一步利用目标,比如:
· Supremo远程桌面;
· 3Proxy;
· Powerline;
· Putty;
· Dumpert;
· NTDSDumpEx;
· ForkDum;
EarlyRat恶意软件
研究人员在上述Log4j案例中注意到EarlyRat的一个版本,并假设它是通过Log4j下载的。然而,当他们开始寻找更多样本时,发现了最终导致EarlyRat失败的网络钓鱼文档。网络钓鱼文档本身并不像下面所示的那样先进:
启用宏后,将执行以下命令:
奇怪的是,VBA代码ping了一个与HolyGhost / Maui勒索软件活动相关的服务器。
EarlyRat和许多其他RAT(远程访问木马)一样,在启动时收集系统信息,并使用以下模板将其发送给C2:
如上所述,请求中有两个不同的参数:“id”和“query”。除此之外,还支持“rep0”和“page”参数。它们用于以下情况:
· id:计算机的唯一id,是解密“query”值的加密密钥;
· query:它是Base64编码的,并与“id”字段中指定的密钥进行滚动异或;
· rep0:当前目录值;
· page:内部状态的值;
就功能而言,EarlyRat非常简单。它能够执行命令,这是它能做的最有趣的事情。EarlyRat和MagicRat之间有很多相似之处。两者都是使用一个框架编写的:QT用于MagicRat,PureBasic用于EarlyRat。此外,两种RAT的功能都非常有限。
总结
尽管Lazarus是一个APT组织,但它仅执行某种特定攻击,比如部署勒索软件,这使得分析其攻击过程变得更加复杂。此外,该组织使用各种自定义工具,不断更新现有的和开发新的恶意软件。
本文翻译自:https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/如若转载,请注明原文地址