LAZARUS
LAZARUS

Lazarus Threat Group angriber Windows-servere til brug som malware-distributionspunkter 

Lazarus Group er en nordkoreansk statsstøttet cyberkriminalitetsgruppe bestående af et ukendt antal individer fra Nordkorea. De kendes også under navnet Reconnaissance General Bureau, Idden Cobra, Zinc og Bureau 121. Gruppen er kendt for at udføre hacking-kampagner over hele verden og er en af de mest fremtrædende cybertrusselgrupper i dag.

AhnLab Security Emergency Response Center (ASEC) har opdaget, at Lazarus, angriber Windows Internet Information Service (IIS) webservere og bruger dem som distribution-spunkter for deres malware. 

Gruppen er kendt for at bruge vandhulsteknikken til indledende adgang. [1] Gruppen hacker først koreanske websteder og ændrer indholdet fra webstedet. Når et system, der bruger en sårbar version af INISAFE CrossWeb EX V6, besøger dette websted via en webbrowser, installeres Lazarus-malware (SCSKAppLink.dll) fra distributionsstedet via INISAFECrossWebEXSvc.exe sårbarheden. 

Mens INITECH-sårbarheden allerede er blevet lappet, fortsætter sårbarhedsangreb mod systemer, der endnu ikke er patchet, stadig den dag i dag. Når Lazarus-gruppen angriber en IIS-webserver og opnår kontrol, bruger den serveren til at distribuere malware, der bruges til INITECH-sårbarhedsangreb. Hvis et system har en sårbar version af INISAFE CrossWeb EX V3 installeret, skal det afinstalleres og opdateres til den nyeste version ved at følge nedenstående sikkerhedsopdateringsanbefaling. 

1. Angreb mod Windows IIS-webservere 

Tilfælde af Lazarus-trusselsgruppen, der var målrettet mod IIS-servere, var også blevet dækket i det tidligere blogindlæg (maj 2023), “Lazarus Group Targeting Windows IIS Web Servers”[2]. Det blev identificeret i angrebssagen på det tidspunkt, at trusselsaktøren brugte dårligt administrerede eller sårbare webservere som det oprindelige adgangspunkt. Der var også omstændigheder, hvor RDP blev brugt til lateral bevægelse efter den interne rekognosceringsproces. 

Normalt, når angribere finder en webserver med en sårbar version fra scanning, bruger de sårbarheden, der er egnet til versionen, til at installere en WebShell eller udføre ondsindede kommandoer. Når trusselsaktøren udnytter sårbarheden til at udføre ondsindede kommandoer eller bruger WebShell til at downloade / uploade filer og udføre fjernkommandoer, udføres den ondsindede adfærd af w3wp.exe det vil sige IIS-webserverprocessen. 

Det nyligt identificerede angreb viste, at Lazarus-trusselsgruppens malware-stammer blev genereret af w3wp.exe (IIS-webserverproces), svarende til tidligere tilfælde. 

image-1-67

Malware genereret af IIS-webservere 

2. Privilege Escalation Malware JuicyPotato (usopriv.exe) 

Den malware, der genereres af w3wp.exe processen, usopriv.exe er JuicyPotato malware fyldt med Themida. Kartoffel-malware-stammerne er ansvarlige for eskalering af privilegier. Der er mange typer såsom JuicyPotato, RottenPotato og SweetPotato i henhold til privilegieeskaleringsmetoden. 

image-1-68

JuicyPotato brugt til angrebet 

Mens trusselsaktører kan kontrollere processerne gennem WebShells eller ordbogsangreb, kan de ikke udføre den tilsigtede ondsindede adfærd, fordi w3wp.exe processen ikke har det relevante privilegium. Sagen er den samme for sqlservr.exe-processen i MS-SQL-servere. For at løse dette problem bruger trusselsaktører ofte samtidig værktøjer til eskalering af privilegier i deres angreb. 

Især bruges kartoffelstammerne af malware til eskalering af privilegier hovedsageligt i angreb mod IIS-webservere og MS-SQL-databaseservere. Kartoffeltyper eskalerer privilegier ved at misbruge nogle processer med visse privilegier aktiveret. Bagefter er trusselsaktøren i stand til at udføre ondsindet adfærd ved hjælp af det forhøjede privilegium. 

Følgende er en liste over kommandoer udført af trusselsaktøren ved hjælp af JuicyPotato installeret i inficerede systemer. whoami-kommandoen blev brugt til at kontrollere, om privilegieeskalering var sket korrekt. Der blev også fundet en log, der viste, at en loader-malware, der er ansvarlig for den faktiske ondsindede adfærd, var blevet udført. 

Tidspunkt Sted Kommando 
2023-6-28 11:35 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdata 
2023-6-29 07:48 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdata 
2023-6-29 07:51 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdatanueio.txt 
2023-6-29 08:27 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c rundll32 c:programdatausoshared.dat ,usoprivfunc 4729858204985024133 
2023-6-29 08:40 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c del c:programdatanueio.txt 
2023-6-29 15:08 %USERPROFILE%desktopngcusopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:brugere%ASD%desktopngctest.txt 

Tabel 1. Liste over kommandoer udført gennem privilegieeskalering malware 

image-1-69

Ekseskalering af privilegier malware udførelseslog 

3. Loader Malware (usoshared.dat) 

Trusselsaktøren brugte JuicyPotato til at udføre en læsser. Loaderen er i DLL-format, så rundll32 blev brugt til at udføre den. En tilfældig streng blev givet som argument. 

> rundll32 c:programdatausoshared.dat ,usoprivfunc 4729858204985024133 

Først dekrypterer loaderen filnavnet på de data, der skal bruges, og henter strengen “{20D1BF68-64EE-489D-9229-95FEFE5F12A4}”. Denne streng er navnet på datafilen. Der søges efter filer med dette navn i i alt tre stier. Mens filerne i disse stier endnu ikke er anskaffet, kunne det identificeres gennem loader-malware-rutinen, at denne malware-type er en loader, der dekrypterer krypterede datafiler og udfører dem i hukommelsesområdet. 

  • En mappe, der indeholder rundll32.exe 
  • En mappe, der indeholder usoshared.dat 
  • C: Windows Installer  
image-1-70

Figur 4. Dekrypteret datafilnavn 

Hvis filen {20D1BF68-64EE-489D-9229-95FEFE5F12A4} findes i ovenstående sti, læses de første 3 byte for at afgøre, om det er strengen “GIF”. Det ser ud til, at trusselsaktøren forklædte datafilen som en GIF-billedfil. Hvis betingelserne stemmer overens, læses de næste 4 byte. Dette indeholder størrelsen på de data, der skal læses. 

image-1-71

Figur 5. Rutine til verifikation af datafiler 

Fordi de resterende data udføres i hukommelsesområdet gennem følgende dekrypteringsrutine, anses det for at være den faktiske krypterede PE. De først opnåede data (startende med 0xC00) gives som et argument, når PE udføres i hukommelsesområdet, og anses derfor for at være de konfigurationsdata, der skal bruges af den dekrypterede malware. 

image-1-72

Figur 6. Rutine for at indlæse den dekrypterede PE i hukommelsesområdet 

Forskydning Størrelse Data 
0x0000 0x0003 Underskrift (GIF) 
0x0003 0x0004 Størrelsen af konfigurationsdataene 
0x0007 SizeOfConfig krypterede konfigurationsdata 
0x0007 + SizeOfConfig Rest Størrelsen af den krypterede PE (0x04) og selve den krypterede PE 

Tabel 2. Struktur af den krypterede datafil 

Generelt bruger Lazarus-gruppen en loader-malware og en krypteret datafil sammen som vist ovenfor. Som vist ovenfor involverer processen en loader i PE-formatet, der finder en datafil i en bestemt sti. Filen køres, når den er dekrypteret i hukommelsesområdet. Selvom datafilen endnu ikke er identificeret, afslører undersøgelse af tidligere sager, at de i sidste ende udførte malware-stammer for det meste er downloadere, der downloader yderligere malware-typer eller bagdøre, der kan modtage kommandoer fra trusselsaktøren til at udføre ondsindet adfærd. 

 
4. Udnyttelse af INISAFE-sårbarhed 

Ifølge AhnLab Smart Defense (ASD) logfiler, INISAFE sårbarhedsangreb mod systemer, der bruger upatchede tidligere versioner af INISAFECrossWebEX er kontinuerligt i gang. 

Efter disse angreb forsøgte trusselsaktøren at installere en ekstra malware “SCSKAppLink.dll” i det inficerede system gennem INISAFE-sårbarhedsangreb. Download-URL’en til “SCSKAppLink.dll” blev identificeret som værende den førnævnte IIS-webserver. Dette betyder, at trusselsaktøren angreb og fik kontrol over IIS-webservere, før han brugte disse som servere til distribution af malware. 

Lazarus

Figur 7. Logfiler med INISAFE-sårbarhed 

Den malware, der installeres ved at udnytte denne sårbarhed (“SCSKAppLink.dll”) er ikke blevet identificeret, men den ligner sandsynligvis den, der er dækket i et tidligere ASEC-blogindlæg, “New Malware of Lazarus Threat Actor Group Exploiting INITECH Process”[3]. “SCSKAppLink.dll” blev tidligere identificeret som værende en downloader malware, der downloader og udfører yderligere malware-stammer fra en ekstern kilde. Det kan installere malware-typer udpeget af angriberen i systemet for at få kontrol. 

5. Konklusion 

Lazarus-gruppen brugte forskellige angrebsvektorer til indledende adgang, såsom fælles certifikatsårbarheder og 3CX-forsyningskædeangreb. Det er en af de farligste trusselsgrupper, der er meget aktive på verdensplan. Således skal virksomhedssikkerhedschefer udøve streng styring ved at anvende angrebsoverfladestyring til at identificere aktiver, der kan blive udsat for trusselsaktører og løbende anvende de nyeste sikkerhedsrettelser. 

Trusselsaktøren bruger kontinuerligt sårbarhedsangreb til indledende adgang til upatchede systemer. Hvis den nyeste version af INITECH-produkter ikke er installeret på et system, skal den seneste opdatering anvendes ved at følge nedenstående anbefaling om sikkerhedsopdatering. 

V3 skal også opdateres til den nyeste version, så malwareinfektion kan forhindres. 

Fildetektion– Udnyt / Win.JuicyPotato.C5452409 (2023.07.12.03) 
– Trojan/Win.Loader.C5452411 (2023.07.12.03) 
 

Registrering af adfærd  
– InitialAccess/MDP. Begivenhed.M4242 

IOC 
MD5– 280152dfeb6d3123789138c0a396f30d: JuicyPotato (usopriv.exe) 
– d0572a2dd4da042f1c64b542e24549d9: Loader (usoshared.dat) 
 

Abonner på AhnLabs næste generations trusselsintelligensplatform ‘AhnLab TIP’ for at kontrollere relaterede IOC- og detaljerede analyseoplysninger. 

Lazarus Threat Group angriber Windows-servere til brug som malware-distributionspunkter 

AhnLab Security Emergency Response Center (ASEC) har opdaget, at Lazarus, en trusselsgruppe, der anses for at være nationalt finansieret, angriber Windows Internet Information Service (IIS) webservere og bruger dem som distributionspunkter for deres malware. 

Gruppen er kendt for at bruge vandhulsteknikken til indledende adgang. [1] Gruppen hacker først koreanske websteder og ændrer indholdet fra webstedet. Når et system, der bruger en sårbar version af INISAFE CrossWeb EX V6, besøger dette websted via en webbrowser, installeres Lazarus-malware (SCSKAppLink.dll) fra distributionsstedet via INISAFECrossWebEXSvc.exe sårbarheden. 

Mens INITECH-sårbarheden allerede er blevet lappet, fortsætter sårbarhedsangreb mod systemer, der endnu ikke er patchet, stadig den dag i dag. Når Lazarus-gruppen angriber en IIS-webserver og opnår kontrol, bruger den serveren til at distribuere malware, der bruges til INITECH-sårbarhedsangreb. Hvis et system har en sårbar version af INISAFE CrossWeb EX V3 installeret, skal det afinstalleres og opdateres til den nyeste version ved at følge nedenstående sikkerhedsopdateringsanbefaling. 

1. Angreb mod Windows IIS-webservere 

Tilfælde af Lazarus-trusselsgruppen, der var målrettet mod IIS-servere, var også blevet dækket i det tidligere blogindlæg (maj 2023), “Lazarus Group Targeting Windows IIS Web Servers”[2]. Det blev identificeret i angrebssagen på det tidspunkt, at trusselsaktøren brugte dårligt administrerede eller sårbare webservere som det oprindelige adgangspunkt. Der var også omstændigheder, hvor RDP blev brugt til lateral bevægelse efter den interne rekognosceringsproces. 

Normalt, når angribere finder en webserver med en sårbar version fra scanning, bruger de sårbarheden, der er egnet til versionen, til at installere en WebShell eller udføre ondsindede kommandoer. Når trusselsaktøren udnytter sårbarheden til at udføre ondsindede kommandoer eller bruger WebShell til at downloade / uploade filer og udføre fjernkommandoer, udføres den ondsindede adfærd af w3wp.exe det vil sige IIS-webserverprocessen. 

Det nyligt identificerede angreb viste, at Lazarus-trusselsgruppens malware-stammer blev genereret af w3wp.exe (IIS-webserverproces), svarende til tidligere tilfælde. 

Figur 1. Malware genereret af IIS-webservere 

2. Privilege Escalation Malware JuicyPotato (usopriv.exe) 

Den malware, der genereres af w3wp.exe processen, usopriv.exe er JuicyPotato malware fyldt med Themida. Kartoffel-malware-stammerne er ansvarlige for eskalering af privilegier. Der er mange typer såsom JuicyPotato, RottenPotato og SweetPotato i henhold til privilegieeskaleringsmetoden. 

Figur 2. JuicyPotato brugt til angrebet 

Mens trusselsaktører kan kontrollere processerne gennem WebShells eller ordbogsangreb, kan de ikke udføre den tilsigtede ondsindede adfærd, fordi w3wp.exe processen ikke har det relevante privilegium. Sagen er den samme for sqlservr.exe-processen i MS-SQL-servere. For at løse dette problem bruger trusselsaktører ofte samtidig værktøjer til eskalering af privilegier i deres angreb. 

Især bruges kartoffelstammerne af malware til eskalering af privilegier hovedsageligt i angreb mod IIS-webservere og MS-SQL-databaseservere. Kartoffeltyper eskalerer privilegier ved at misbruge nogle processer med visse privilegier aktiveret. Bagefter er trusselsaktøren i stand til at udføre ondsindet adfærd ved hjælp af det forhøjede privilegium. 

Følgende er en liste over kommandoer udført af trusselsaktøren ved hjælp af JuicyPotato installeret i inficerede systemer. whoami-kommandoen blev brugt til at kontrollere, om privilegieeskalering var sket korrekt. Der blev også fundet en log, der viste, at en loader-malware, der er ansvarlig for den faktiske ondsindede adfærd, var blevet udført. 

Tidspunkt Sted Kommando 
2023-6-28 11:35 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdata 
2023-6-29 07:48 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdata 
2023-6-29 07:51 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:programdatanueio.txt 
2023-6-29 08:27 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c rundll32 c:programdatausoshared.dat ,usoprivfunc 4729858204985024133 
2023-6-29 08:40 %ALLUSERSPROFILE%usopriv.exe %SystemRoot%system32cmd.exe /c del c:programdatanueio.txt 
2023-6-29 15:08 %USERPROFILE%desktopngcusopriv.exe %SystemRoot%system32cmd.exe /c whoami > c:brugere%ASD%desktopngctest.txt 

Tabel 1. Liste over kommandoer udført gennem privilegieeskalering malware 

Figur 3. Ekseskalering af privilegier malware udførelseslog 

3. Loader Malware (usoshared.dat) 

Trusselsaktøren brugte JuicyPotato til at udføre en læsser. Loaderen er i DLL-format, så rundll32 blev brugt til at udføre den. En tilfældig streng blev givet som argument. 

> rundll32 c:programdatausoshared.dat ,usoprivfunc 4729858204985024133 

Først dekrypterer loaderen filnavnet på de data, der skal bruges, og henter strengen “{20D1BF68-64EE-489D-9229-95FEFE5F12A4}”. Denne streng er navnet på datafilen. Der søges efter filer med dette navn i i alt tre stier. Mens filerne i disse stier endnu ikke er anskaffet, kunne det identificeres gennem loader-malware-rutinen, at denne malware-type er en loader, der dekrypterer krypterede datafiler og udfører dem i hukommelsesområdet. 

  • En mappe, der indeholder rundll32.exe 
  • En mappe, der indeholder usoshared.dat 
  • C: Windows Installer  

Figur 4. Dekrypteret datafilnavn 

Hvis filen {20D1BF68-64EE-489D-9229-95FEFE5F12A4} findes i ovenstående sti, læses de første 3 byte for at afgøre, om det er strengen “GIF”. Det ser ud til, at trusselsaktøren forklædte datafilen som en GIF-billedfil. Hvis betingelserne stemmer overens, læses de næste 4 byte. Dette indeholder størrelsen på de data, der skal læses. 

Figur 5. Rutine til verifikation af datafiler 

Fordi de resterende data udføres i hukommelsesområdet gennem følgende dekrypteringsrutine, anses det for at være den faktiske krypterede PE. De først opnåede data (startende med 0xC00) gives som et argument, når PE udføres i hukommelsesområdet, og anses derfor for at være de konfigurationsdata, der skal bruges af den dekrypterede malware. 

Figur 6. Rutine for at indlæse den dekrypterede PE i hukommelsesområdet 

Forskydning Størrelse Data 
0x0000 0x0003 Underskrift (GIF) 
0x0003 0x0004 Størrelsen af konfigurationsdataene 
0x0007 SizeOfConfig krypterede konfigurationsdata 
0x0007 + SizeOfConfig Rest Størrelsen af den krypterede PE (0x04) og selve den krypterede PE 

Tabel 2. Struktur af den krypterede datafil 

Generelt bruger Lazarus-gruppen en loader-malware og en krypteret datafil sammen som vist ovenfor. Som vist ovenfor involverer processen en loader i PE-formatet, der finder en datafil i en bestemt sti. Filen køres, når den er dekrypteret i hukommelsesområdet. Selvom datafilen endnu ikke er identificeret, afslører undersøgelse af tidligere sager, at de i sidste ende udførte malware-stammer for det meste er downloadere, der downloader yderligere malware-typer eller bagdøre, der kan modtage kommandoer fra trusselsaktøren til at udføre ondsindet adfærd. 

 
4. Udnyttelse af INISAFE-sårbarhed 

Ifølge AhnLab Smart Defense (ASD) logfiler, INISAFE sårbarhedsangreb mod systemer, der bruger upatchede tidligere versioner af INISAFECrossWebEX er kontinuerligt i gang. 

Efter disse angreb forsøgte trusselsaktøren at installere en ekstra malware “SCSKAppLink.dll” i det inficerede system gennem INISAFE-sårbarhedsangreb. Download-URL’en til “SCSKAppLink.dll” blev identificeret som værende den førnævnte IIS-webserver. Dette betyder, at trusselsaktøren angreb og fik kontrol over IIS-webservere, før han brugte disse som servere til distribution af malware. 

Figur 7. Logfiler med INISAFE-sårbarhed 

Den malware, der installeres ved at udnytte denne sårbarhed (“SCSKAppLink.dll”) er ikke blevet identificeret, men den ligner sandsynligvis den, der er dækket i et tidligere ASEC-blogindlæg, “New Malware of Lazarus Threat Actor Group Exploiting INITECH Process”[3]. “SCSKAppLink.dll” blev tidligere identificeret som værende en downloader malware, der downloader og udfører yderligere malware-stammer fra en ekstern kilde. Det kan installere malware-typer udpeget af angriberen i systemet for at få kontrol. 

5. Konklusion 

Lazarus-gruppen brugte forskellige angrebsvektorer til indledende adgang, såsom fælles certifikatsårbarheder og 3CX-forsyningskædeangreb. Det er en af de farligste trusselsgrupper, der er meget aktive på verdensplan. Således skal virksomhedssikkerhedschefer udøve streng styring ved at anvende angrebsoverfladestyring til at identificere aktiver, der kan blive udsat for trusselsaktører og løbende anvende de nyeste sikkerhedsrettelser. 

Trusselsaktøren bruger kontinuerligt sårbarhedsangreb til indledende adgang til upatchede systemer. Hvis den nyeste version af INITECH-produkter ikke er installeret på et system, skal den seneste opdatering anvendes ved at følge nedenstående anbefaling om sikkerhedsopdatering. 

V3 skal også opdateres til den nyeste version, så malwareinfektion kan forhindres. 

Fildetektion– Udnyt / Win.JuicyPotato.C5452409 (2023.07.12.03) 
– Trojan/Win.Loader.C5452411 (2023.07.12.03) 
 

Registrering af adfærd  
– InitialAccess/MDP. Begivenhed.M4242 

IOC 
MD5– 280152dfeb6d3123789138c0a396f30d: JuicyPotato (usopriv.exe) 
– d0572a2dd4da042f1c64b542e24549d9: Loader (usoshared.dat) 

Kilde: AhnLab Security Emergency Response Center (ASEC)
Fotokredit: AhnLab Security Emergency Response Center (ASEC)

Scroll to Top