拉撒路(Lazarus)组织新活动Battle Cruiser

           2018年10月23日,ESRC发布报告称发现Lazarus组织最新活动。在今年3月发现的特殊字符串被命名为“battle32.avi”和“battle64.avi”,以及“Operation Star Cruiser”和’star6.avi’。十月份最新活动中攻击出现了更改文件名和扩展名,包括“akism1.pgi”,“akism2.pgi”,里面的导出函数的名称是“battle32.dll”,“battle64.dll”。
本次活动这一次检测到恶意软件是在2018年10月21日构造出的,文件名是“国家重点人员,包括检讨注册请求(10.16)(律师金暻-焕).hwp”

HWP文档文件包含“BIN0001.ps”流数据,并且它包含恶意的Post Script代码。解压缩后,它包含恶意shellcode。

恶意脚本被执行时,恶意文档打开并伪装成普通文档文件。文档文件包含两个关键名称,如国家储备工作人员和登记信息管理系统,并包含特定律师韩国的名称。文档文件的作者标记为“Subdued”,最后保存的用户为“user”。

执行恶意文档文件时显示的屏幕

download C2:

Flydashi.com/wp-content/plugins/akism1.PGI

Flydashi.com/wp-content/plugins/akism2.PGI

下载的文件已从’battle32.avi’和’battle64.avi’更改为’akism1.pgi’和’akism2.pgi’,此恶意代码也使用’battle32.dll’和’battle64.dll’作为内部文件名
带有’battle32.dll’导出功能名称的屏幕

hxxps://theinspectionconsultant.com/wp-content/plugins/akismet/index1[.]php

– hxxp://danagloverinteriors.com/wp-content/plugins/jetpack/common[.]php

– hxxps://as-brant.ru/wp-content/themes/shapely/common[.]php

C2

恶意文件包含与已知Sony Pictures攻击系列相同的元数据和功能。

*dJU!*JE&!M@UNQ@ 该串仍在使用

相关报告:

http://blog.alyac.co.kr/1945

http://blog.alyac.co.kr/1625

http://blog.alyac.co.kr/1653

发表评论

电子邮件地址不会被公开。 必填项已用*标注