Lazarus组织工具包源头分析

McAfee和Intezer联合开展的研究证明,来自朝鲜的其中一个小组Lazarus使用的恶意软件工具包来自于叫做CasperPhpTrojan的开源RAT,报告在这里,木马代码对比分析在这里

      研究人员我发现的Lazarus的样本,只有3/65的检测率。通过检测平台检测后,发现与Red Gambler的代码重用。https://analyze.intezer.com/#/analyses/47eff0cd-fc54-44c4-ba33-18e0ae21f3ca,特洛伊木马上看到该模块的内部名称被称为“DllTroy.dll”,它已知与Lazarus相关联。

在不同Lazarus活动使用的样本中发现特殊字符串,包括工具Prioxer。特殊字符串为7d414e351603fa,在谷歌中查找:

这个开源木马CasperPhpTrojan的源代码最初发布在中国开源项目网站pudn.com上。

有了源样本,再对Lazarus攻击使用的样本对号入座就可以了。

其他图就可以看原始报告了。

IOCs

CasperTroy (2016) Droppers:

458ffcc41959599f8dab1fd4366c9a50efefa376e42971c4a436aa7fd697a396

d1cf03fbcb6471d44b914c2720821582fb3dd81cb543f325b2780a5e95046395

CasperTroy (2016) RATs:

ec73fe2ecc2e0425e4aeb1f01581b50c5b1f8e85475c20ea409de798e6469608

c62ec66e45098d2c41bfd7a674a5f76248cf4954225c2d3a2cfcd023daa93522

926a2e8c2baa90d504d48c0d50ca73e0f400d565ee6e07ad6dafdd0d7b948b0e

CasperTroy C&Cs:

http://ready-jetkorea[.]com/data/file/pop/write_ok.php

http://plsong[.]com/xe/addons/counter/conf/write_ok.php

Shared Code Examples:

TDrop f4b7b36e9c940937748d5bba3beb82b7c3636f084e5e913c7a5ad3ad623ffbc5

MYDOOM 1b6a1320fba00dd2e56e35cf6f11f941deabcb6e4dba7ea773ded7e3d648ec54

KoreDos 068b89e2ec5655d006f2788ea328e5f12bd57ba761ee03c4de2fb0aa01c92c7f

DarkSeoul 4915f53221dc7786710a7a82a9cb00cf8468e0d1155a1355c9eb17e8cddfd265

Blockbuster 6724c041fe0df61a619006bf1df4a759f4f22a65e2afda32501760ebc9ebe25d

发表评论

电子邮件地址不会被公开。 必填项已用*标注