روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما از آبان ماه گذشته حملات جدید گروه لازاروس را زیر نظر داشتیم؛ حملاتی که با استفاده از ترکیبی پیچیده از «استراتژی واترینگ‌هول» و سوءاستفاده از آسیب‌پذیری‌های نرم‌افزارهای کره‌ای، سازمان‌هایی در کره جنوبی را هدف قرار داده بود. این عملیات با نام «عملیات سینک‌هول»  دست‌کم شش سازمان فعال در حوزه‌های نرم‌افزار، فناوری اطلاعات، مالی، تولید نیمه‌رسانا و مخابرات را تحت تأثیر قرار داده و ما اطمینان داریم که در واقع تعداد بیشتری از شرکت‌ها قربانی این کمپین شده‌اند. به‌محض شناسایی، اطلاعات مهمی را برای اقدام سریع در اختیار آژانس امنیت اینترنت کره (KrCERT/CC) قرار دادیم، و اکنون تأیید شده که تمام نرم‌افزارهایی که در این کمپین مورد سوءاستفاده قرار گرفته بودند، به نسخه‌های به‌روزرسانی‌شده و وصله‌شده ارتقاء یافته‌اند.

یافته‌های ما به طور خلاصه:

• دست‌کم شش سازمان کره‌ای با حمله‌ای از نوع واترینگ‌هول و سوءاستفاده از آسیب‌پذیری‌ها توسط گروه لازاروس مورد نفوذ قرار گرفته‌اند.
• از یک آسیب‌پذیری روز-صفر در نرم‌افزار Innorix Agent نیز برای حرکت جانبی در شبکه استفاده شده است.
• نسخه‌های جدیدی از ابزارهای مخرب گروه لازاروس شامل ThreatNeedle، Agamemnon downloader، wAgent، SIGNBT و COPPERHEDGE شناسایی شده‌اند که دارای قابلیت‌های تازه‌ای هستند.

زمینه

آلودگی اولیه در آبان‌ماه سال گذشته شناسایی شد؛ زمانی که ما یک نسخه جدید از بک‌در ThreatNeedle (یکی از ابزارهای شاخص گروه لازاروس) را در حمله‌ای به یک شرکت نرم‌افزاری کره جنوبی کشف کردیم. بررسی‌ها نشان داد که این بدافزار در حافظه‌ی فرایند قانونی SyncHost.exe اجرا می‌شد و به‌عنوان زیرفرایندی از نرم‌افزار Cross EX (نرم‌افزاری قانونی و ساخت کره جنوبی) ایجاد شده بود. این نقطه ممکن است آغاز نفوذ به پنج سازمان دیگر در کره جنوبی نیز بوده باشد. افزون بر این، طبق هشدار امنیتی منتشرشده در وب‌سایت KrCERT، آسیب‌پذیری‌هایی در نرم‌افزار Cross EX در همان بازه زمانی پژوهش ما وصله شده‌اند.

در فضای اینترنت کره جنوبی، برای دسترسی به خدمات بانکی آنلاین و سامانه‌های دولتی، کاربر ملزم به نصب برخی نرم‌افزارهای امنیتی است که برای عملکردهایی مثل ضدکی‌لاگر و امضای دیجیتال مبتنی بر گواهی به‌کار می‌روند. ماهیت این نرم‌افزارها به‌گونه‌ای است که دائماً در پس‌زمینه اجرا می‌شوند تا با مرورگر تعامل داشته باشند. گروه لازاروس درک دقیقی از این ویژگی‌ها دارد و از راهبردی هدفمند استفاده می‌کند که ترکیبی است از آسیب‌پذیری در این نرم‌افزارها و حملات واترینگ‌هول. مرکز ملی امنیت سایبری کره جنوبی در سال ۲۰۲۳ هشدارهایی را درباره چنین حملاتی منتشر کرده و در همکاری با دولت بریتانیا نیز هشدارهای امنیتی مشترکی ارائه داده است.

نرم‌افزار Cross EX برای پشتیبانی از اجرای این ابزارهای امنیتی در مرورگرهای مختلف طراحی شده و معمولاً با سطح دسترسی کاربر اجرا می‌شود، مگر بلافاصله پس از نصب. با اینکه روش دقیق سوءاستفاده از Cross EX برای توزیع بدافزار مشخص نیست، شواهدی داریم که نشان می‌دهد مهاجمان در حین بهره‌برداری، سطح دسترسی خود را افزایش داده‌اند؛ زیرا در بیشتر موارد، فرایند با سطح یکپارچگی بالا اجرا شده بود. موارد زیر ما را به این نتیجه رساند که احتمالاً یک آسیب‌پذیری در Cross EX در این عملیات مورد سوءاستفاده قرار گرفته است:

• آخرین نسخه Cross EX در زمان وقوع حملات روی سیستم‌های آلوده نصب شده بود.
• زنجیره‌های اجرایی منشأگرفته از فرایند Cross EX در همه سازمان‌های هدف، مشابه بودند.
• زمان وقوع حملاتی که در آن‌ها از فرایند Synchost برای تزریق بدافزار استفاده شد، محدود به بازه‌ای کوتاه بین آبان ۱۴۰۳ تا بهمن ۱۴۰۳ بود.

در اولین موج این عملیات، لازاروس همچنین از آسیب‌پذیری در محصول دیگری به نام Innorix Agent (ساخت کره جنوبی) استفاده کرد تا حرکت جانبی در شبکه انجام دهد و بدافزارهای بیشتری را روی میزبان هدف نصب کند. این گروه حتی بدافزار ویژه‌ای برای این منظور توسعه داد تا فرآیند نفوذ را خودکارسازی و ساده‌سازی کند. نسخه‌های آسیب‌پذیر این نرم‌افزار (۹.۲.۱۸.۴۵۰ و پایین‌تر) قبلاً توسط گروه Andariel نیز مورد سوءاستفاده قرار گرفته بودند، اما بدافزار جدیدی که ما کشف کردیم نسخه ۹.۲.۱۸.۴۹۶ را هدف قرار داده بود. در حین تحلیل رفتار این بدافزار، یک آسیب‌پذیری روز-صفر دیگر نیز در قابلیت دانلود فایل دلخواه از طریق Innorix Agent کشف شد که پیش از بهره‌برداری مهاجمان شناسایی شد. این مشکل به KrCERT و سازنده نرم‌افزار گزارش شد و نسخه‌های وصله‌شده منتشر شدند.

استفاده از آسیب‌پذیری‌های موجود در نرم‌افزارهایی که به‌طور خاص در کره جنوبی توسعه یافته‌اند، بخشی کلیدی از راهبرد لازاروس برای هدف‌گیری نهادهای کره‌ای است؛ راهبردی که ما و همچنین شرکت ESET و KrCERT در سال ۲۰۲۳ نمونه‌هایی از آن را افشا کرده بودیم.

بردار اولیه نفوذ

آلودگی از آن‌جا آغاز شد که کاربر سیستم هدف به چند وب‌سایت خبری کره‌ای مراجعه کرد. کمی پس از بازدید از یکی از این وب‌سایت‌ها، سیستم به بدافزار ThreatNeedle آلوده شد؛ چیزی که نشان می‌دهد همان وب‌سایت نقش مهمی در تحویل اولیه بدافزار داشته است. در روند بررسی، مشخص شد که سیستم آلوده با یک نشانی IP مشکوک در ارتباط بوده است. تحلیل‌های بعدی نشان داد که این IP میزبان دو دامنه مشکوک بوده که هر دو ظاهراً وب‌سایت‌های اجاره خودرو بوده‌اند، ساخته‌شده با قالب‌های HTML آماده و عمومی.

اولین دامنه، یعنی www.smartmanagerex[.]com، به‌نظر می‌رسد که خود را به‌عنوان وب‌سایت رسمی یکی از محصولات شرکت توزیع‌کننده Cross EX جا زده بود. بر اساس این یافته‌ها، سناریوی حمله به‌صورت زیر بازسازی شد:

از آن‌جایی که وب‌سایت‌های خبری کره‌ای عموماً بازدید زیادی دارند، گروه لازاروس با استفاده از یک اسکریپت سمت سرور، بازدیدکنندگان را پالایش کرده و اهداف مطلوب را به وب‌سایتی تحت کنترل مهاجمان هدایت می‌کند (T1608.004). با اطمینان متوسط می‌توان گفت که این وب‌سایت واسط، اسکریپت مخربی را اجرا می‌کرده (T1189) که آسیب‌پذیری احتمالی در نرم‌افزار Cross EX  نصب‌شده روی سیستم هدف را هدف می‌گرفته (T1190) و به نصب بدافزار منجر می‌شده است. در نهایت، این اسکریپت، فرایند قانونی SyncHost.exe را اجرا کرده و شِل‌کدی را در آن تزریق می‌کرده که نسخه‌ای از بدافزار ThreatNeedle را در این فرایند بارگذاری می‌کرده است. این زنجیره اجرایی، که به تزریق بدافزار در فرایند SyncHost.exe ختم می‌شود، در تمام سازمان‌های آلوده‌شده‌ای که شناسایی کردیم یکسان بوده، و این نشان می‌دهد گروه لازاروس طی چند ماه گذشته با استفاده از یک آسیب‌پذیری و یک اکسپلویت مشخص، عملیات گسترده‌ای علیه کره جنوبی انجام داده است.

جریان اجرا

ما این عملیات را بر اساس نوع بدافزار مورداستفاده، به دو مرحله تقسیم کرده‌ایم:

• مرحله اول بر زنجیره اجرایی مبتنی بر ThreatNeedle و wAgent تمرکز داشت.
• مرحله دوم شامل استفاده از بدافزارهای SIGNBT و COPPERHEDGE بود.

•          ما بر اساس این دو مرحله، چهار زنجیره اجرایی مختلف برای بدافزار را شناسایی کردیم که در دست‌کم شش سازمان آسیب‌دیده مشاهده شده‌اند. در نخستین مورد آلودگی، نسخه‌ای از بدافزار ThreatNeedle کشف شد، اما در حملات بعدی، بدافزار SIGNBT جای آن را گرفت و به این ترتیب، مرحله دوم حمله آغاز شد.
•          ما بر این باوریم که دلیل این تغییر، واکنش سریع و قاطع ما نسبت به قربانی اول بوده است. در ادامه، گروه لازاروس سه زنجیره آلودگی به‌روزشده دیگر را معرفی کرد که همگی شامل SIGNBT می‌شدند. در این مرحله، دامنه اهداف گسترش یافت و حملات نیز با دفعات بیشتری تکرار شدند. این موضوع نشان می‌دهد که مهاجمان احتمالاً متوجه افشای حمله‌های حساب‌شده‌شان شده‌اند و از آن پس، آسیب‌پذیری موجود را با گستردگی بیشتری مورد بهره‌برداری قرار داده‌اند.

بدافزارهای مرحله اول

در زنجیره‌ی آلودگی مرحله اول، نسخه‌های به‌روزرسانی‌شده‌ای از بدافزارهایی به‌کار رفته‌اند که پیش‌تر نیز توسط گروه لازاروس مورد استفاده قرار گرفته بودند.

نسخه‌ای از ThreatNeedle

نمونه‌ی به‌کاررفته از ThreatNeedle در این کمپین در یکی از گزارش‌های شرکت ESET با نام ThreatNeedleTeaمعرفی شده بود. به‌نظر می‌رسد این نمونه نسخه‌ای ارتقایافته از نسخه‌های اولیه‌ی ThreatNeedle باشد که در این حمله با قابلیت‌های جدیدی بازنویسی شده است.

این نسخه‌ی جدید از ThreatNeedle به دو جزء اصلی تقسیم می‌شودLoader و Core.

• Core: وظیفه‌ی بارگذاری پنج فایل پیکربندی با نام‌های C_27098.NLS تا C_27102.NLS را بر عهده دارد و در مجموع شامل ۳۷ فرمان مختلف است.
• Loader:تنها به دو فایل پیکربندی ارجاع می‌دهد و چهار فرمان را اجرا می‌کند.

جزء Core از طریق C2 (سرور فرمان و کنترل) دستور خاصی دریافت کرده و بر اساس آن، فایل لودر دیگری برای حفظ پایداری سیستم آلوده ایجاد می‌کند. این فایل ممکن است به شکل‌های زیر پنهان شود:

• به‌عنوان مقدار ServiceDLL در سرویس‌های گروه netsvcs (T1543.003)
• به‌جای سرویس IKEEXT (T1574.001)
• یا ثبت‌شده به‌عنوان یک Security Service Provider یا SSP (T1547.005)

در نهایت این فایل، کامپوننت Loader از ThreatNeedle را بارگذاری می‌کند.

نسخه به‌روز ThreatNeedle از الگوریتم Curve25519 برای تولید یک جفت کلید تصادفی استفاده می‌کند (T1573.002)، کلید عمومی را برای سرور C2 ارسال کرده و کلید عمومی مهاجم را دریافت می‌کند. سپس با استفاده از کلید خصوصی تولیدشده و کلید عمومی مهاجم، کلید مشترکی ساخته می‌شود که به‌عنوان کلید رمزنگاری برای الگوریتم  ChaCha20  به کار می‌رود(T1573.001).  ارتباطات بین بدافزار و C2 در قالب فرمت JSON  انجام می‌گیرد.

LPEClient

LPEClient  ابزاری است که برای شناسایی قربانی و تحویل Payload استفاده می‌شود (T1105) و پیش‌تر در حملاتی علیه پیمانکاران دفاعی و صنعت رمزارز مشاهده شده بود. ما قبلاً افشا کرده بودیم که این ابزار توسط بدافزار SIGNBT بارگذاری می‌شود، اما در این کمپین، تنها توسط نسخه‌ی جدید ThreatNeedle بارگذاری شده و هیچ نمونه‌ای از بارگذاری آن توسط SIGNBT مشاهده نشد.

نسخه‌ای از wAgent

علاوه بر نسخه‌ی به‌روزشده‌ی  ThreatNeedle، نسخه‌ای از بدافزار wAgent  نیز در نخستین سازمان آلوده‌شده کشف شد. این ابزار مخرب اولین‌بار در سال ۲۰۲۰ توسط ما مستند شد، و نسخه‌ای مشابه از آن در عملیات «GoldGoblin» که توسط KrCERT  گزارش شده بود نیز مشاهده شده است. منشأ ساخت این بدافزار هنوز به‌درستی مشخص نیست، اما مشخص شد که لودر wAgent در قالب فایل liblzma.dll پنهان شده و از طریق خط فرمان زیر اجرا می‌شود:

bash

CopyEdit

rundll32.exe c:\Programdata\intel\util.dat, afunix 1W2-UUE-ZNO-B99Z

(T1218.011)

در این خط فرمان، تابع export نام فایل 1W2-UUE-ZNO-B99Zرا از مسیر C:\ProgramDataبازیابی می‌کند، که این نام، نقش کلید رمزگشایی را نیز ایفا می‌کند. با تبدیل این نام فایل به بایت‌های wide و استفاده از ۱۶ بایت نخست آن، کلید الگوریتم رمزنگاری AES-128-CBC به‌دست می‌آید که برای رمزگشایی محتویات فایل استفاده می‌شود (T1140). مسیر فایل رمزنگاری‌شده در C:\ProgramDataقرار دارد (T1027.013) و چهار بایت اول داده رمزگشایی‌شده، اندازه‌ی payload را مشخص می‌کند (T1027.009). ما این payload را نسخه‌ای به‌روز از بدافزار wAgent شناسایی کردیم.

قابلیت‌های نسخه‌ی جدید wAgent

• توانایی دریافت داده در قالب‌های form-data و JSON، بسته به سرور C2 که بدافزار به آن متصل می‌شود.
• درج کلید __Host-next-auth-token در فیلد Cookie در هدر درخواست‌ها (T1071.001)، همراه با رشته‌ای از ارقام تصادفی به‌عنوان شناسه‌ی ارتباط.
• استفاده از کتابخانه‌ی متن‌باز GNU Multiple-Precision (GMP) برای انجام محاسبات رمزنگاری RSA، که برای نخستین بار در میان بدافزارهای منتسب به لازاروس مشاهده شده است.
• مطابق فایل پیکربندی، این نسخه با نام x64_2.1 شناسایی شده است.
• استفاده از ساختار STL map در ++C برای مدیریت پی‌لودها.
• دریافت پلاگین‌های اضافه از C2، بارگذاری مستقیم آن‌ها در حافظه، و ساخت یک شیء مشترک برای مبادله‌ی پارامترها و نتایج اجرایی بین ماژول اصلی و پلاگین‌ها.

نسخه‌ای از Downloader به نام Agamemnon

دانلودر موسوم به Agamemnon  نیز یکی دیگر از ابزارهای مورد استفاده در این عملیات است که وظیفه‌ی دریافت و اجرای payloadهای اضافه از سرور فرمان و کنترل (C2) را بر عهده دارد. اگرچه فایل پیکربندی این ابزار در نمونه‌ی فعلی به دست ما نرسیده است، اما نحوه‌ی عملکرد آن از طریق تحلیل ترافیک و رفتارهای اجرایی قابل درک است.

Agamemnon  از C2 دستوراتی به‌همراه پارامترها دریافت می‌کند که با استفاده از کاراکترهای دوتایی ;;از یکدیگر جدا می‌شوند. این ساختار نقش جداکننده‌ی فرمان‌ها و پارامترها را دارد.

الگوی اجرای payload:

• زمانی که C2 یک دستور 2ارسال می‌کند، مقدار mode موجود در پاسخ تعیین می‌کند که payload  که با دستور 3ارسال می‌شود) به چه شیوه‌ای اجرا شود.
• دو روش اجرا وجود دارد:
1. Reflective Loading –  بارگذاری بازتابیپی‌لوددر حافظه بدون ذخیره‌سازی روی دیسک (T1620)، روشی رایج در بدافزارها.
2. تکنیک Tartarus-TpAllocInject – روشی متن‌باز برای تزریق کد که بر پایه‌ی تابع TpAllocWorkدر Thread Pool ویندوز توسعه یافته است. این روش تا کنون در هیچ‌یک از بدافزارهای پیشین گروه لازاروس مشاهده نشده بود.

استفاده از تکنیک TpAllocInject نشانه‌ای از پیشرفت در ابزارهای تزریق این گروه و افزایش تلاش برای دور زدن راهکارهای دفاعی سنتی است.

لودر متن‌باز و تکنیک‌های تزریق مدرن

لودر متن‌بازی که در این عملیات به کار رفته، بر پایه‌ی لودر دیگری به نام Tartarus’ Gate ساخته شده است.  این ابزار خود، نسخه‌ی توسعه‌یافته‌ای از Halo’s Gate  محسوب می‌شود که آن نیز از Hell’s Gate  منشأ گرفته است. هر سه تکنیک با هدف دور زدن محصولات امنیتی مانند آنتی‌ویروس‌ها و راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) طراحی شده‌اند، اما روش‌های متفاوتی را برای بارگذاری مخرب‌ها در حافظه به‌کار می‌برند.

اکسپلویت Innorix Agent برای جابجایی جانبی

در تفاوت با ابزارهای قبلی، ابزار سوءاستفاده از Innorix برای جابجایی جانبی در شبکه استفاده می‌شود. این ابزار توسط دانلودر Agamemnon (T1105) دریافت می‌شود و با بهره‌گیری از نسخه‌ی خاصی از نرم‌افزار انتقال فایل Innorix Agent که در کره جنوبی توسعه یافته، اقدام به دریافت بدافزارهای اضافی از طریق میزبان‌های داخلی شبکه می‌کند (T1570).

اهمیت Innorix Agent در محیط اینترنت کره جنوبی:

• این نرم‌افزار برای انجام برخی فعالیت‌های مالی و اداری در اینترنت الزامی است.
• بنابراین، احتمال نصب آن روی بسیاری از کامپیوترهای شخصی و سازمانی در کره جنوبی بالاست.
• هر کاربری که نسخه‌ی آسیب‌پذیر را اجرا کند، در معرض هدف‌گیری قرار دارد.

نحوه عملکرد ابزار Innorix abuser:

1. بدافزار، یک کلید لایسنس جعلی تعبیه‌شده در خود دارد که ظاهراً به نسخه‌ی 9.2.18.496  مربوط می‌شود.
2. با استفاده از این کلید، ترافیکی مخرب تولید می‌کند که شبیه به ترافیک مشروع Innorix است، تا بدون جلب توجه، درون شبکه حرکت کند.
3. Agamemnon به این ابزار پارامترهایی مانند آدرس IP هدف، URL فایل، و اندازه‌ی فایل را می‌دهد.
4. سپس بدافزار بررسی می‌کند که آیا روی میزبان هدف، Innorix Agent  نصب و در حال اجرا است یا خیر.
5. در صورت تأیید، بدون بررسی اعتبار ترافیک، بدافزار فایل مورد نظر را به‌طور مستقیم از URL داده‌شده روی سیستم هدف بارگذاری می‌کند.

این حمله نشان می‌دهد که سوءاستفاده از نرم‌افزارهای بومی و پرکاربرد برای حرکت جانبی یکی از ستون‌های اصلی استراتژی گروه لازاروس در محیط کره جنوبی است.

استفاده از ابزاری به نام Innorix Abuser و سوءاستفاده از نسخه‌های آسیب‌پذیر

در ادامه‌ی مراحل پیشرفته‌ی حمله، ابزار Innorix Abuser از یک فایل AppVShNotify.exe  مشروع و یک فایل USERENV.dll مخرب در همان مسیر استفاده کرد. سپس، با استفاده از ویژگی‌های مشروع نرم‌افزار، فایل AppVShNotify.exe اجرا شد و به تبع آن، USERENV.dll از طریق سایدلودینگ (T1574.002) اجرا گردید. این فرآیند در نهایت باعث اجرای ThreatNeedle و LPEClient  در میزبان‌های هدف شد و زنجیره‌ی آلوده‌سازی را در سیستم‌های قبلاً آلوده‌نشده آغاز کرد.

ما این آسیب‌پذیری را به KrCERT  گزارش دادیم به دلیل تاثیر بالقوه‌ای که ممکن است از سوءاستفاده از ابزار Innorix Abuser بوجود آید، اما به ما اطلاع داده شد که این آسیب‌پذیری قبلاً شناسایی و گزارش شده است. ما تایید کردیم که این بدافزار در محیط‌هایی با نسخه‌های غیراز 9.2.18.496 از Innorix Agent به درستی کار نمی‌کند.

همچنین، در هنگام بررسی رفتار بدافزار، آسیب‌پذیری جدیدی برای دانلود فایل‌های دلخواه در نسخه‌های تا 9.2.18.538 شناسایی کردیم که به شماره KVE-2025-0014  شناخته می‌شود. این آسیب‌پذیری هنوز شواهدی از استفاده آن در محیط‌های واقعی پیدا نکرده‌ایم. این آسیب‌پذیری با شماره KVE به طور اختصاصی توسط KrCERT صادر می‌شود. ما موفق به برقراری ارتباط با Innorix شدیم و یافته‌های خود را از طریق KrCERT با آنها به اشتراک گذاشتیم. پس از آن، نسخه‌ی اصلاح‌شده‌ای در ماه مارس منتشر شد که هر دو آسیب‌پذیری اصلاح شده‌اند.

 

بدافزار فاز دوم حمله

در فاز دوم حمله، نسخه‌های جدیدتری از ابزارهای مخربی که پیش‌تر در حملات گروه لازاروس مشاهده شده بودند، معرفی شدند.

SIGNBT

SIGNBT که در سال 2023 مستند کرده‌ایم، نسخه 1.0 بود، اما در این حمله، نسخه 0.0.1 در ابتدا استفاده شد. در ادامه، نسخه‌ی SIGNBT 1.2 نیز شناسایی شد. برخلاف نسخه‌های 1.0 و 0.0.1، نسخه 1.2 قابلیت‌های کنترل از راه دور کمتری داشت و بیشتر تمرکز آن بر اجرای payloadهای اضافی بود. توسعه‌دهندگان بدافزار این نسخه را "Hijacking"  نامیدند.

در فاز دوم این عملیات، SIGNBT 0.0.1 به‌عنوان دروازه‌بان اولیه در حافظه در SyncHost.exe اجرا شد تا بدافزارهای اضافی را بارگذاری کند. در این نسخه، سرور C2 به‌صورت سخت‌کد شده بود و به هیچ فایل پیکربندی ارجاع داده نمی‌شد. در طول این تحقیق، ابزاری برای دزدی اعتبارنامه‌ها پیدا کردیم که توسط SIGNBT 0.0.1 بارگذاری شده بود و مشابه آنچه که در حملات قبلی دیده بودیم بود.

SIGNBT 1.2

برای نسخه 1.2، مسیر فایل پیکربندی از منابع خود بدافزار استخراج شده و فایل آن دریافت می‌شود تا آدرس‌های سرور C2 بدست آید. ما توانستیم دو مسیر فایل پیکربندی از هر نمونه SIGNBT 1.2 شناسایی‌شده استخراج کنیم که به شرح زیر هستند:

• مسیر فایل پیکربندی 1: C:\ProgramData\Samsung\SamsungSettings\settings.dat
• مسیر فایل پیکربندی 2: C:\ProgramData\Microsoft\DRM\Server\drm.ver

یکی از تغییرات دیگر در SIGNBT 1.2، کاهش تعداد پیشوندها بود که به تنها سه مورد محدود می‌شد: SIGNBTLG, SIGNBTRC, و SIGNBTSR.  بدافزار از یک کلید عمومی RSA از سرور C2 دریافت می‌کند و یک کلید AES به صورت تصادفی تولید کرده و آن را با کلید عمومی RSA رمزگذاری می‌کند. سپس، تمام ترافیک با استفاده از کلید AES تولید شده رمزگذاری می‌شود. این تغییرات در SIGNBT 1.2  نشان‌دهنده تکامل ابزارهای بدافزاری گروه لازاروس و پیشرفت‌های آنها در استفاده از روش‌های پیچیده‌تر برای برقراری ارتباط مخفیانه با سرور C2 و اجرای دستورات است.

COPPERHEDGE

COPPERHEDGE  یک ابزار مخرب است که توسط US-CERT  در سال 2020 معرفی شد. این ابزار یک نسخه از Manuscrypt است و عمدتاً در حملات DeathNote cluster  استفاده شده است. برخلاف دیگر بدافزارهای استفاده شده در این عملیات، COPPERHEDGE  تغییرات چشمگیری نداشته و تنها چند دستور آن نسبت به نسخه‌های قدیمی‌تر تغییر جزئی داشته است.

این نسخه از COPPERHEDGE  برای دریافت اطلاعات پیکربندی، مانند آدرس سرور C2، از فایل ADS با مسیر %appdata%\Microsoft\Internet Explorer\brndlog.txt:loginfo استفاده می‌کند (T1564.004). سپس، بدافزار ترافیک HTTP به سرور C2 ارسال می‌کند که شامل سه یا چهار پارامتر برای هر درخواست می‌شود، به طوری که نام پارامتر به صورت تصادفی از سه نام مختلف انتخاب می‌شود.

پارامترهای HTTP که ارسال می‌شوند عبارتند از:

1. پارامتر اول: bih، aqs، org
2. پارامتر دوم: wib، rlz، uid
3. پارامتر سوم: tib، hash، lang
4. پارامتر چهارم: ei، ie، oq

مهاجم به طور عمده از COPPERHEDGE  برای انجام شناسایی داخلی در این عملیات استفاده کرده است. در داخل پشتیبان COPPERHEDGE، مجموعاً 30 دستور از 0x2003 تا 0x2032 و 11 کد پاسخ از 0x2040 تا 0x2050 وجود دارد.

 

تکامل بدافزارهای گروه لازاروس

در سال‌های اخیر، بدافزارهای گروه لازاروس به طور سریع در حال تکامل بوده‌اند، به طوری که ویژگی‌های سبک‌سازی و ماژولار شدن در آنها مشاهده می‌شود. این تغییرات نه تنها به ابزارهای جدید اعمال شده‌اند بلکه شامل بدافزارهای قدیمی نیز می‌شوند. ما این تغییرات را برای چند سال مشاهده کرده‌ایم و معتقدیم که تغییرات بیشتری در آینده رخ خواهند داد.

یافته‌ها

در طول تحقیقات ما در این کمپین، بینش گسترده‌ای درباره استراتژی پس‌سوءاستفاده گروه لازاروس به دست آوردیم. پس از نصب بدافزار COPPERHEDGE، عامل اجرایی دستورات متعددی از ویندوز را برای جمع‌آوری اطلاعات پایه سیستم (T1082، T1083، T1057، T1049، T1016، T1087.001)، ایجاد یک سرویس مخرب (T1569.002، T1007) و تلاش برای یافتن میزبان‌های ارزشمند به منظور انجام حرکت جانبی (T1087.002، T1135) اجرا کرد.

هنگام تجزیه و تحلیل دستورات اجرا شده توسط عامل، قادر به شناسایی اشتباه عامل در استفاده از دستور taskkill  شدیم: پارامتر /im در هنگام استفاده از taskkill به معنای نام تصویر است که باید نام تصویر فرایند را مشخص کند، نه شناسه فرایند. این نشان می‌دهد که عامل هنوز در حال انجام کاوش داخلی با وارد کردن دستی دستورات است.

 

زیرساخت

در طول این عملیات، بیشتر سرورهای C2 وب‌سایت‌های معتبر ولی کاملاً آسیب‌پذیر در کره جنوبی (T1584.001)  بودند که نشان‌دهنده تمرکز این عملیات به طور خاص بر کره جنوبی است. در مرحله اول، از دیگر سایت‌های رسانه‌ای به عنوان سرورهای C2  استفاده شد تا از شناسایی حملات واترینگ هولکه توسط رسانه‌ها آغاز می‌شود، جلوگیری شود. اما هنگامی که زنجیره آلودگی به مرحله دوم منتقل شد، سایت‌های معتبر از صنایع مختلف نیز به طور اضافی به‌عنوان سرور C2 مورد بهره‌برداری قرار گرفتند. برخلاف سایر موارد، سرور C2 LPEClient توسط همان شرکت هاستینگ که www.smartmanagerex[.]com را میزبانی می‌کند، که به طور عمدی برای اولین نفوذ ایجاد شده بود، میزبانی شد. با توجه به اینکه LPEClient  به طور زیادی توسط گروه لازاروس برای ارسال بارهای اضافی استفاده می‌شود، به احتمال زیاد مهاجمان به طور عمدی این سرور را اجاره و پیکربندی کرده‌اند (T1583.003)  و دامنه‌ای تحت کنترل خود را به منظور حفظ انعطاف‌پذیری کامل عملیاتی به آن اختصاص داده‌اند. علاوه بر این، ما همچنین دریافتیم که دو دامنه که به عنوان سرورهای C2 برای SIGNBT 0.0.1  استفاده شده بودند، به دامنه IP همان شرکت هاستینگ اشاره می‌کردند.

ما تأیید کردیم که دامنه thek-portal[.]com  تا سال 2020 متعلق به یک ISP کره جنوبی بود و دامنه‌ای معتبر از یک شرکت بیمه بود که توسط شرکتی دیگر خریداری شد. از آن زمان، دامنه پارک شده بود و وضعیت آن در فوریه 2025 تغییر کرد، که نشان می‌دهد گروه لازاروس این دامنه را دوباره ثبت کرده است تا از آن در این عملیات بهره‌برداری کند.

 

نسبت‌دهی آلودگی

در طول این کمپین، چندین نمونه بدافزار استفاده شده است که ما توانستیم آن‌ها را به گروه لازاروس نسبت دهیم، از طریق تحقیقاتی مداوم و دقیق که برای مدت طولانی انجام داده‌ایم. منتسب‌سازی ما از طریق استفاده تاریخی از این انواع بدافزار و همچنین TTPs آنها پشتیبانی می‌شود که تمامی آن‌ها توسط بسیاری از فروشندگان راه‌حل‌های امنیتی و دولت‌ها به خوبی مستند شده است.

علاوه بر این، ما زمان اجرای دستورات ویندوز ارسال شده توسط COPPERHEDGE، زمان ساخت تمام نمونه‌های مخرب که در بالا شرح داده‌ایم و زمان نفوذ اولیه هر میزبان را تجزیه و تحلیل کردیم که نشان می‌دهد این زمان‌ها بیشتر بین 00:00 و09:00GMT  متمرکز بودند. بر اساس دانش ما از ساعات کاری معمول در مناطق زمانی مختلف، می‌توانیم نتیجه‌گیری کنیم که عامل در منطقه زمانی GMT+09 قرار دارد.

 قربانیان

ما حداقل شش سازمان در زمینه‌های نرم‌افزار، فناوری اطلاعات، مالی، تولید نیمه‌رسانا و مخابرات در کره جنوبی را شناسایی کردیم که قربانی عملیات SyncHole شده‌اند. با این حال، ما اطمینان داریم که سازمان‌های بسیاری در صنایع مختلف دیگر نیز تحت تأثیر قرار گرفته‌اند، با توجه به محبوبیت نرم‌افزاری که توسط گروه لازاروس در این کمپین بهره‌برداری شده است.

 

نتیجه‌گیری

این اولین بار نیست که گروه لازاروس زنجیره‌های تأمین را با درک کامل از اکوسیستم نرم‌افزاری کره جنوبی مورد سوءاستفاده قرار می‌دهد. ما قبلاً در گزارش‌های تحلیلی خود در مورد خوشه Bookcode  در سال 2020، خوشه DeathNote در سال 2022 و بدافزار SIGNBT در سال 2023 به چنین حملاتی پرداخته‌ایم. همه این موارد نرم‌افزارهایی را هدف قرار دادند که توسط تأمین‌کنندگان کره جنوبی توسعه یافته و برای خدمات بانکداری آنلاین و دولتی نیاز به نصب دارند. هر دو محصول نرم‌افزاری که در این مورد مورد بهره‌برداری قرار گرفتند، با موارد گذشته همخوانی دارند، که نشان می‌دهد گروه لازاروس به طور مداوم استراتژی مؤثری مبتنی بر حملات زنجیره‌ای تأمین را اتخاذ می‌کند.

حملات تخصصی گروه لازاروس که به زنجیره‌های تأمین در کره جنوبی هدف گرفته است، انتظار می‌رود که در آینده ادامه یابد. تحقیقات ما در سال‌های اخیر شواهدی فراهم کرده که بسیاری از تأمین‌کنندگان نرم‌افزار در کره قبلاً مورد حمله قرار گرفته‌اند و اگر کد منبع یک محصول مورد سوءاستفاده قرار گیرد، ممکن است آسیب‌پذیری‌های روز صفر دیگری کشف شود. همچنین مهاجمان در تلاش هستند تا شناسایی را به حداقل برسانند، با توسعه بدافزار جدید یا بهبود بدافزارهای موجود. به ویژه، آن‌ها تغییراتی در ارتباطات با C2، ساختار دستورات و نحوه ارسال و دریافت داده‌ها وارد می‌کنند.

ما ثابت کرده‌ایم که شناسایی دقیق و پاسخ سریع می‌تواند تاکتیک‌های آن‌ها را به طور مؤثر مهار کند و در عین حال توانستیم آسیب‌پذیری‌ها را برطرف کرده و حملات را کاهش دهیم تا از خسارات بیشتر جلوگیری کنیم. ما به نظارت بر فعالیت این گروه ادامه خواهیم داد و آماده پاسخگویی به تغییرات آن‌ها خواهیم بود. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی معتبر برای باقی ماندن هوشیار و کاهش خطرات احتمالی استفاده کنید. خط تولید ما برای کسب‌وکارها به شناسایی و جلوگیری از حملات هر پیچیدگی در مراحل اولیه کمک می‌کند.

محصولات کسپرسکیحملات و بدافزارهایی که در این حمله استفاده شده‌اند را با حکم‌های زیر شناسایی می‌کنند:

• Trojan.Win64.Lazarus.*
• Trojan.Win32.Lazarus.*
• MEM:Trojan.Win32.Cometer.gen
• MEM:Trojan.Win32.SEPEH.gen
• Trojan.Win32.Manuscrypt.*
• Trojan.Win64.Manuscrypt.*
• Trojan.Win32.Zenpak.*

 

شاخص‌های نفوذ (IoC)
برای دریافت اطلاعات بیشتر، مشتریان سرویس گزارش‌دهی اطلاعات Kaspersky Intelligence می‌توانند به آدرس intelreports@kaspersky.com تماس بگیرند.

 

نمونه‌های مختلف بدافزار:

• Variant of the ThreatNeedle loader
  f1bcb4c5aa35220757d09fc5feea193b C:\System32\PCAuditex.dll
• Variant of the wAgent loader
  dc0e17879d66ea9409cdf679bfea388c C:\ProgramData\intel\util.dat
• COPPERHEDGE dropper
  2d47ef0089010d9b699cd1bbbc66f10a %AppData%\hnc_net.tmp

 

سرورهای C2:

• www[.]smartmanagerex[.]com
• hxxps://thek-portal[.]com/eng/career/index.asp
• hxxps://builsf[.]com/inc/left.php
• hxxps://www[.]rsdf[.]kr/wp-content/uploads/2024/01/index.php
• hxxp://www[.]shcpump[.]com/admin/form/skin/formBasic/style.php
• hxxps://htns[.]com/eng/skin/member/basic/skin.php
• hxxps://kadsm[.]org/skin/board/basic/write_comment_skin.php
• hxxp://bluekostec[.]com/eng/community/write.asp
• hxxp://dream.bluit.gethompy[.]com/mobile/skin/board/gallery/index.skin.php

 

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.