朝鲜APT组织Lazarus的分支团伙Andariel攻击事件汇总

释放双眼,带上耳机,听听看~!

    Andariel,作为朝鲜APT组织Lazarus的分支团伙,主要负责对外进行军事活动,近期被曝该团伙利用ActiveX 0day进行攻击,据相关人士透露,该漏洞与三星SDS Acube相关。

    Acube是由三星企业部门开发的基于桌面的组件应用程序。该应用程序在韩国企业中很受欢迎,并且还支持ActiveX控件。

    ActiveX是由Microsoft创建的软件框架。它的开发旨在支持各种互动功能,并且已经在Internet Explorer,Office等流行应用程序中嵌入。

   

   目前虽然漏洞已经修复,但其实后面的相关攻击资源并没有被披露,此前我一直对该事件跟踪过,也推送过几次,但一直没有看见相关资源,最后发现了alienvault对此事件进行了详细分析。


脚本方面  

下面这张图片之前也推送过,算是这次事件的唯一的线索。从这些线索展开后。实际可以从urlscan发现了一些线索。

实际上可以把一些缓存的脚本下载下来(此时真实环境的脚本已经失效)

 

实际恶意代码隐藏在 http://www.sejong[.]org/js/jquery-1.5.3.min.js 中,该段恶意脚本实际类似于一些黑客工具包的代码,主要用于进行插件检测,大部分代码来自这个项目 http://www.pinlady.net/PluginDetect/,像下面这段就是用于查看是否启动特定的ActiveX插件

最后会将结果发到此处 http://alphap1[.]com/hdd/images/image.php?id=ksjdnks

该脚本实际可以关联到lazarus此前的脚本,代码结构极为相似,2015年lazarus就曾使用过,家族名为Waketagat


漏洞方面

漏洞触发方面主要使用Javascript来执行ActiveX漏洞

下载的文件名splwow32.exe也与台湾银行攻击事件相关

https://baesystemsai.blogspot.com/2017/10/taiwan-heist-lazarus-tools.html

后门方面

目前alienvault也只是关联了一个特别近似的样本,并没有将真实样本下载下来,关联的样本发包通讯特征如下

服务器返回特征如下

除此之外还发现了另外两个该家族的样本,可以下载分析看一下

懒得贴,详细的相关ioc与yara规则可点击原文链接查看

本文源自微信公众号:黑鸟

人已赞赏
安全工具

多款中国安卓APP开始分发流氓广告恶意软件,最高1亿次下载量

2019-10-16 10:38:20

安全工具

Cuckoo Sandbox 2.0.6发布/flash 0day在野攻击

2019-10-16 10:38:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索