Lazarus APT组织针对海事研究组织的网络攻击活动分析

1. 攻击背景

• 时间背景：2024年初曝光
• 政治背景：美国总统拜登刚签署加强海事网络安全的行政命令
• 攻击目标：其他国家国防部门潜艇开发计划的研究材料
• 攻击组织：朝鲜Lazarus APT组织（又称Hidden Cobra）

2. 攻击手法概述

Lazarus APT组织采用了供应链攻击方式，具体流程如下：

1. 初始入侵：渗透目标海事研究组织的网站维护和维修供应商
2. 权限获取：窃取SSH密钥访问目标Web服务器
3. 工具部署：使用curl从C2服务器下载Ngrok工具和Base64编码的Python下载器脚本
4. 横向移动：利用SSH在网络中横向移动，使用TCP Dump收集网络数据
5. 凭证窃取：获取员工账户登录凭据
6. 最终攻击：访问安全经理邮箱，通过补丁管理系统(PMS)下发NukeSped恶意软件

3. 恶意软件分析：NukeSped

3.1 基本功能

NukeSped是Lazarus APT组织开发的一款远程访问工具(RAT)，与早期使用的FallChill恶意软件功能结构相似。

3.2 技术细节

1. 字符串解密：

   • 使用异或算法解密样本中的加密字符串
   • 解密后的字符串包含关键功能模块和C2通信信息

2. 模块加载：

   • 使用LoadLibraryA加载解密出的DLL模块
   • 动态加载所需功能组件

3. 网络通信：

   • 调用WSAStartup初始化网络请求
   • 获取并拼接远程服务器C2地址
   • 添加特定HTTP请求标头：

     Cache-Control: no-cache
     Accept: */*
     Content-Type: application/x-www-form-urlencoded
     Content-Length: 41
     

4. C2通信流程：

   • 通过URL链接向C2服务器发送HTTP请求
   • 将请求数据写入HTTP服务器
   • 获取HTTP请求响应状态
   • 接收并执行服务器返回的指令

5. 功能指令：

   • 文件上传/下载
   • 文件读写操作
   • 进程操作（创建/终止/枚举）
   • 系统信息收集
   • 持久化维持

3.3 关联分析

• C2域名：connection.lockscreen.kro.kr（被标记为可疑域名）
• 历史关联：
  • 2018年Operation AppleJeus攻击中使用的FallChill恶意软件
  • 2019年攻击活动中首次出现NukeSped
  • 本次攻击中NukeSped的通信模式与历史攻击相似

4. 防御建议

4.1 针对供应链攻击

1. 供应商安全管理：

   • 实施严格的第三方供应商安全评估
   • 限制供应商的访问权限
   • 监控供应商账户的异常活动

2. 补丁管理系统防护：

   • 实施多因素认证
   • 审核所有补丁请求的来源和内容
   • 建立补丁签名验证机制

4.2 针对NukeSped恶意软件

1. 网络层防护：

   • 阻止已知C2域名（如*.kro.kr）
   • 监控异常HTTP请求模式
   • 检测Base64编码的可执行内容

2. 终端防护：

   • 监控异常进程行为（特别是使用LoadLibraryA加载不明DLL）
   • 检测异或解密行为
   • 限制curl等工具的非授权使用

3. 凭证保护：

   • 实施最小权限原则
   • 定期轮换SSH密钥
   • 监控SSH的异常登录行为

5. 威胁情报

1. Lazarus APT组织特点：

   • 持续更新攻击武器库
   • 开发新的恶意软件变种
   • 研究新型攻击技术
   • 攻击手法日益复杂

2. 发展趋势：

   • 更多针对关键基础设施的攻击
   • 供应链攻击将成为主要入侵手段
   • 攻击与地缘政治事件的关联性增强

6. 总结

本次攻击活动展示了APT组织如何利用供应链弱点渗透高价值目标。安全团队需要：

1. 加强供应链安全管理
2. 部署多层防御措施
3. 持续监控威胁情报
4. 提升应急响应能力
5. 进行红队演练测试防御有效性

APT威胁将持续演变，安全防御需要不断适应新的攻击手法和技术。