9月27日,360政企集團高階威脅研究院研究員劉嘉磊,登上被業界稱為“國內首家網路安全行業B站”ISC平臺,就《數字貨幣的覬覦者——Lazarus(APT-C-26)針對國內數字貨幣相關威脅活動綜合研判》進行了精彩直播。
此次演講,不僅披露了該組織13年來針對全球數字交易所的攻擊行徑,還以三年三大經典案例——2018年針對上海某交易所定向攻擊事件,2019年針對數字貨幣交易所大規模集中攻擊事件,2020年暴風行動-利用MATA框架相關攻擊活動,進行了更深入性的分析研討。
長達13年攻擊滲透360安全大腦起底數字貨幣覬覦者——Lazarus自2007年起,Lazarus (APT-C-26)組織一直活躍並至今,後續一系列因朝鮮而引發的全球性網路攻擊事件均有其身影。然而,與以往APT組織展開的網路戰博弈不同,自創立起Lazarus (APT-C-26)組織便打著“牟取經濟利益”的旗號在國際範圍內四處斂財。在場長達十三的攻擊滲透中,Lazarus所涉獵的每一步都備受國際安全界的關注。與此同時,目標領域也隨著時局的變化而變化。
1、 戰場轉移:從傳統金融戰場轉移到數字貨幣等新興領域
縱觀Lazarus組織的十年攻擊歷程,我們發現:自2014年起,Lazarus的“斂財”攻擊達到制高點,美國、孟加拉、俄羅斯、挪威、墨西哥、澳大利亞、印度、波蘭、秘魯等國的金融市場無一倖免,甚至輻射至全球金融業市場。而伴隨著比特幣和加密數字貨幣價格的暴漲,作為全球金融機構的首要威脅,Lazarus也將攻擊“槍口”由傳統金融行業逐步轉向數字貨幣市場,全球加密貨幣組織及相關機構都成為眾矢之的。
2、涉獵擴張:數字貨幣交易所成“主戰場”,中、日、韓等國家首當其衝
據研究院介紹,Lazarus組織從2016年開始轉戰數字貨幣領域,從2017年開始相關攻擊逐步異常活躍。攻擊目標主要為全球範圍內數字貨幣交易所,涉及中、日、韓等亞洲國家。如下圖所示,2017年至2019年期間,全球數字貨幣交易約6.4億美元的數字貨幣被Lazarus組織盜取,其中,youbit在經歷兩次駭客攻擊後,直接申請破產。
(針對全球數字貨幣交易所)
而針對我國的攻擊中,其目標大部分是數字貨幣交易所人員,也有少量數字貨幣交易的使用者。其中主要涉及:OKEX、多比(Dobitrade)、中幣(ZB)、富位元(FUBT)、D網數字(DAEX)等交易所。
(針對國內的攻擊影響)
如上不難看出,金融犯罪早已成為朝鮮國家級駭客組織Lazarus(APT-C-26)的“主戰場”。那麼,“駭客大盜”Lazarus(APT-C-26)是如何一步步完成橫掃全球任務,走向黑產“致富之路”的呢?這還要從其最為知名的三大案例談起。
初露鋒芒篇:一部電影“走紅”駭客界
2014年,一部電影令Lazarus(APT-C-26)組織意外走紅。當時,索尼影業在Youtube上首發電影《刺殺金正恩》預告片,引起了朝鮮人民強烈不滿,僅僅10天之後,Lazarus組織就入侵索尼影業竊取11TB的敏感資料,其中包含洩露大量的還未發行的影片資料,以及高管間的秘密郵件和員工的隱私資訊,促使索尼公司不得不宣佈取消該電影的發行和放映計劃。此次事件,無疑重新整理全球安全界對朝鮮駭客的認知,並讓朝鮮在世介面前賺足了“臉面”。而嚐到了甜頭的朝鮮更是野心勃勃,將攻擊火力延伸至全世界。
攻擊進階篇:WannaCry全球比特幣勒索案
正所謂,木秀於林,樹大招風。經歷“電影門”事件接連被各大網路安全機構“扒皮”之後,Lazarus組織開始全面進攻金融行業。彼時正是幣圈風口,Lazarus自然就將目光轉向比特幣。至此,席捲全球的WannaCry勒索案爆發。全球近150個國家被波及,大量政府機構和公共設施被癱瘓,至少30萬使用者電腦中招,醫療、教育、金融等多個行業全部受到影響,經濟損失高達80億美元……這一事件,再度為Lazarus組織平添了濃墨重彩的一筆。斬獲屢屢功勳之下,Lazarus踏足數字貨幣之路也正式啟動……
斂財王者篇:瞄準數字貨幣四處作案
隨著數字世界的發展,斗轉星移間數字貨幣成為金融圈的“弄潮兒”。其中,由於數字貨幣的去中心化和匿名性特點,眾駭客組織皆想在此領域分得一杯羹。至此,Lazarus組織的斂財計劃正式全域開啟。在本次360政企集團高階威脅研究院,就獨家首次披露了Lazarus組織針對我國數字貨幣三起重磅攻擊案例:
2018年,針對上海某交易遭遇定向攻擊。這是360高階威脅研究院截獲的首例針對國內相關數字貨幣機構的APT攻擊活動。攻擊者透過社會工程學方式進行攻擊,前期偽裝身份溝通騙取加密貨幣機構核心人員的信任,隨後偽造數字貨幣問卷調查文件進行攻擊。最終透過溯源關聯分析,確認此次攻擊和Lazarus組織相關,並在進一步研討中,研究院將其定性為一起經過精心籌劃針對國內數字加密貨幣機構的APT攻擊行動。
2019年,針對數字貨幣交易所大規模集中攻擊。去年,在數字加密貨幣的“Celas Trade Pro”遭遇網路攻擊後,360高階威脅應對團隊持續跟蹤,發現該組織的攻擊仍處於活躍狀態,並啟動新的“Worldbit-bot”等一系列攻擊活動,而該攻擊行動正與區塊鏈安全團隊降維披露的交易所被黑事件存在關聯。經360安全大腦進一步追蹤溯源,最終確認,這是Lazarus組織針對OKEX等多家知名數字貨幣交易所發起的攻擊行動。
2020年,暴風行動-利用MATA框架攻擊事件。今年,卡巴斯基披露了一個多平臺惡意軟體框架——MATA。360安全大腦對其進行進一步追蹤溯源,發現了一類利用MATA框架針對加密貨幣行業相關人員的攻擊活動。不管是攻擊目標所屬的數字金融業,還是攻擊技術手法採取的後門程式攻擊,都間接顯示MATA框架可能和Lazarus 組織存在關聯。
由此看見,暴露於大眾視野下的Lazarus組織已然成為駭客界的“致富小能手”,其行徑也愈發猖獗。而這就不得不歸咎於Lazarus組織手段的“高明”之處。探門道深究Lazarus組織的“謀財”手段隨著360安全大腦對Lazarus組織的進一步分析窺探,我們發現,Lazarus組織在“謀財”方式上,也頗具手段。面對攻擊物件差異性,其攻擊招式更是“因地制宜”。大眾化攻擊之以魚叉郵件為主的定向攻擊在初始攻擊環節,該組織整體以魚叉郵件為主。然而,在近期相關攻擊活動中,360安全大腦發現其利用如微信之類的即時通訊工具的投放也尤為頻繁。除此之外,還有透過網盤傳播,或者偽裝官網的方式進行投放。另外,據相關情報線索反饋,該組織也會採用網站掛馬、行業論壇散佈後門等方式,不過此方式多用於對他國的攻擊,在針對我國的攻擊活動中暫未明顯體現。
(郵件攻擊投放流程)
(即時通訊工具進行傳播)
然而,無論採用哪種傳播途徑,最終投放的是捆綁後門的應用軟體或漏洞文件,其中以前者居多,而且主要選擇仿冒該領域常用的數字貨幣交易軟體。定製化攻擊之圍繞數字貨幣話題為誘餌社工圍繞數字貨幣領域相關話題,針對重點目標使用者(如交易所管理層人員),Lazarus組織展開相應定製化的誘餌社工。而針對開發、運維等人員,則會選擇偽裝相應軟體進行誘導植入,我們歸納為以下三方面:
1)利用數字貨幣類定製化資訊利用比特幣數字加密貨幣調查問卷展開攻擊,受害者開啟文件後將觸發播放遠端的flash漏洞檔案,執行惡意程式碼安裝木馬程式。
(調查問卷文件)
2)偽裝自動化交易軟體
Lazarus模仿開源交易軟體“Qt Bitcoin Trader”開發了一款名為“Celas Trade Pro”的數字加密貨幣交易軟體,同時又定製了相應的網站和簽名。攻擊者透過郵件定向推廣帶有後門的Celas Trader誘使目標幣所工作人員下載使用。
(精心構造的CelasTrade Pro官網)
CelasTrade Pro交易軟體(2018)
2019年1月到3月,Lazarus組織根據開源的“Qt BitcoinTrader”軟體修改加入惡意程式碼,改造成名為“Worldbit-bot”的自動交易軟體。然後使用之前註冊的域名偽裝成正規的數字貨幣自動交易軟體的官方網站,進行了長達半年時間的運營。“Worldbit-bot”軟體和該組織去年實施的“Celas Trade Pro”攻擊在主體功能上無太大差異,屬於同一個攻擊框架。
Worldbit-bot交易軟體(2019)
2019年7月到11月,lazarus再次使用相同的套路針對數字貨幣交易所進行攻擊,不過這次更改了模仿物件,模仿的開源軟體變為“Blackbird Bitcoin Arbitrage”。攻擊的目標仍舊為數字貨幣交易所,依舊採用社交軟體傳播。
UnionCrypto Trade交易軟體(2019) 3)其他定製化軟體
監控發現除了偽裝數字貨幣交易軟體以外,攻擊者也會選擇性的偽裝成如IT運維類、人事辦公類的軟體,進一步我們發現這些受影響使用者也都是相關交易所的工作人員。被偽裝的開源軟體名稱軟體功能簡述RemoteDesktopOverNetwork一款開源的遠端桌面軟體,主要用於使用者的遠端桌面協助。Employee-Management-System一款開源的員工管理系統軟體,用於管理員工詳細資訊和工資資訊。溯本源360安全大腦研判鎖定Lazarus組織在關聯溯源中,我們發現:從2017年開始針對我國數字貨幣的相關攻擊活動中,最終執行的後門木馬有Winupdater、Relay、HTTPBackdoor、Macupdater等12個家族及其變種,其中最為典型就是HTTPBackdoor和MATA。關於MATA元件,這裡我們重點提一下。據顯示,惡意DLL啟動後所執行的rat工具負責部署MATA框架,該工具會在目標機器上執行powershell命令,從遠端拉取另外一段powershell指令碼執行。powershell的功能比較簡單,主要是從遠端地址下載映像,執行該映像的匯出函式。
(MATA部署流程)
經過確認該映像就是MATA惡意軟體框架中的排程器。攻擊者使用powershell載入映像執行的利用方式,可以延長利用鏈,增加分析難度。
根據對核心樣本的研究,360安全大腦最終將上述三起針對我國數字貨幣攻擊行動鎖定為Lazarus組織。其同源性關聯分析分析圖如下:
具體資訊如下:
首先,根據2018年首次針對國內相關行業攻擊中使用的後門樣本,360安全大腦關聯到了Lazarus的其他樣本FoggyBrass,它們的功能、協議結構、UA和RC4 KEY完全相同;
同時,這個RC4 key與2018年Applejues行動中的celas交易軟體的相關簽名中的二進位制資料,也存在重疊;
此外,後門樣本中的UA與Lazarus的bankshot家族中的UA也十分相似。而celas、worlbit-bot、alticgo三個偽裝的交易軟體都有相關的官網作為下載站,並且域名都是剛註冊不久,從這點來看,手法完全相同;
最後,alticgo與部署MA他的行動中也用了相同的方式載入下載器,rundll32啟動下載器中的UpdateCheck。部署mata的rat與18年使用的後門也有相同功能的外掛。
可以說,在樣本的命令列表功能相似,樣本的C&C通訊命令結構一致,樣本RC4的Key相同,樣本的HTTP報文UserAgent相同等相關聯之下,360安全大腦最終將其研判鎖定Lazarus組織。
智 庫 時 評
近幾年,以Lazarus為代表的境外APT組織持續對金融領域攻擊滲透,從聚焦於數字貨幣監管機構、交易所等人員進行精準定向攻擊,到根據不同崗位不同資源目標人群,採取差異化攻擊手段,進而達到竊取交易所相關數字資產,甚至更為核心機密資料的目的。可見,其是目標明確,有備而來。早在2017年全國金融工作會議上,習近平總書記就強調,金融是國家重要的核心競爭力,金融安全是國家安全的重要組成部分。伴隨全球資訊化、數字化的發展,針對金融領域以及數字貨幣行業覬覦與攻擊,也成為國家級網路力量博弈的一重要領域。尤其當前,正值我國大力推進數字貨幣關鍵時期,相關政策方向、技術突破等都將成為APT組織幕後主導者重點關注所在。
鑑於此,如何應對這類高階威脅;如何加強排查和防範金融行業風險;尤其面對數字貨幣這類新興領域的網路滲透攻擊,如何做好安全防護;這都將成為國家發展,國家安全,以及網路安全企業及其工作人員所要面對及解決的艱鉅挑戰。各領域網路安全護航之路,都任重而道遠,吾輩們仍當慎重應對。