朝鲜APT组织Lazarus的分支团伙Andariel攻击事件汇总

    Andariel,作为朝鲜APT组织Lazarus的分支团伙,主要负责对外进行军事活动,近期被曝该团伙利用ActiveX 0day进行攻击,据相关人士透露,该漏洞与三星SDS Acube相关。

    Acube是由三星企业部门开发的基于桌面的组件应用程序。该应用程序在韩国企业中很受欢迎,并且还支持ActiveX控件。

    ActiveX是由Microsoft创建的软件框架。它的开发旨在支持各种互动功能,并且已经在Internet Explorer,Office等流行应用程序中嵌入。

   

   目前虽然漏洞已经修复,但其实后面的相关攻击资源并没有被披露,此前我一直对该事件跟踪过,也推送过几次,但一直没有看见相关资源,最后发现了alienvault对此事件进行了详细分析。

脚本方面  

下面这张图片之前也推送过,算是这次事件的唯一的线索。从这些线索展开后。实际可以从urlscan发现了一些线索。

640?wx_fmt=png

实际上可以把一些缓存的脚本下载下来(此时真实环境的脚本已经失效)

640?wx_fmt=png

 

实际恶意代码隐藏在 http://www.sejong[.]org/js/jquery-1.5.3.min.js 中,该段恶意脚本实际类似于一些黑客工具包的代码,主要用于进行插件检测,大部分代码来自这个项目 http://www.pinlady.net/PluginDetect/,像下面这段就是用于查看是否启动特定的ActiveX插件

640?wx_fmt=png

最后会将结果发到此处 http://alphap1[.]com/hdd/images/image.php?id=ksjdnks

该脚本实际可以关联到lazarus此前的脚本,代码结构极为相似,2015年lazarus就曾使用过,家族名为Waketagat

640?wx_fmt=png

漏洞方面

漏洞触发方面主要使用Javascript来执行ActiveX漏洞

640?wx_fmt=png

640?wx_fmt=png

下载的文件名splwow32.exe也与台湾银行攻击事件相关

640?wx_fmt=png

https://baesystemsai.blogspot.com/2017/10/taiwan-heist-lazarus-tools.html

后门方面

目前alienvault也只是关联了一个特别近似的样本,并没有将真实样本下载下来,关联的样本发包通讯特征如下

640?wx_fmt=png

服务器返回特征如下

640?wx_fmt=png

除此之外还发现了另外两个该家族的样本,可以下载分析看一下

懒得贴,详细的相关ioc与yara规则可点击原文链接查看

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值