美朝之间不止有“嘴仗”，双方在网络空间早就真的怼上了

前情提要

最近，美国和朝鲜两个国家之间政治局势紧张，美国总统特朗普（Donald Trump）发表煽动性的“炮火与怒火”言论，表示如果朝鲜的核威胁升级，美国会进行严厉反击；朝鲜方面也不甘示弱，表示军方将于八月中旬完成关岛包围打击方案并报请领导人金正恩批复。

本周一，知名的网络安全公司Palo Alto Networks发布了一份研究报告，报告声称从今年4月份开始，朝鲜的网络间谍组织Lazarus 就一直忙于对美国国防承包商们发动网络攻击。

最新动向

Palo Alto Networks公司Unit42 的研究人员发现一波新的针对美国国防承包商的网络攻击。通过分析恶意代码、文件和基础设施，可以很清楚的知道这一系列行动与朝鲜的网络间谍组织Lazarus有关，是该组织网络攻击“大片”的续集。攻击者重用了之前攻击中使用到的工具、技术和程序（TTPs），操作上几乎没有差异。今年4月份，我们曾经发布过一份报道，持续检测发现，从那时起这个黑客组织的攻击活动持续至今，一直没有停止过。

Lazarus之前主要以韩国为目标，最近切换到美国频道上，可能与近期两国之间的紧张的政治局势有关。

攻击方式以鱼叉式网络钓鱼为主

攻击者专注于向美国国防承包商的雇员发送特制的鱼叉式网络钓鱼电子邮件。这些电子邮件附带有文字说明，内容包括工作职责描述和内部政策，目的是诱使目标组织的员工将其当作正常工作的一部分，进而阅读这些文档，一旦受害者打开了文档（包含了恶意宏负载），电脑就会受到恶意代码的感染。

在鱼叉式网络钓鱼攻击中，攻击者使用一个诱饵文件欺骗目标，如下图所示：

在最近的攻击活动中，发现的一个诱饵文件的内容：

它包含了美国一家国防承包商的一个公开的、详尽的工作职位描述的副本（里边还有错别字）：

这份Microsoft Office文档包含的恶意有效载荷与之前发现的Lazarus组织使用过的极为相似。

下图中更全面的展示了最近的网络攻击中使用到的样本和基础设施之间的关系：

大量线索指向Lazarus组织

报告中详细说明了最近针对美国国防承包商的活动与Lazarus组织过去的一些网络攻击的相似之处：

• 宏负载的源代码可以追溯到2017年4月的攻击活动
• 攻击者使用的用于解码恶意软件有效载荷并感染计算机的异或加密密钥，与2017年4月的攻击活动中使用的密钥相同；
• 写入磁盘的功能相似；
• 元数据相似，很有可能是因为使用了相同的自动构建工具来编译恶意文件；
• 恶意软件使用相同的虚假TLS通信，用于模拟加密流量，这是Lazarus组织惯用的手段；
• 服务器基础设施是重叠的，包括托管恶意文件的URLs和C&C服务器的IPv4地址；
• 恶意软件直接连接到IPv4地址，而不是域名解析；
• 样本内的编码字符串、文件名和植入物内嵌入的批处理文件都具有相似性

尽管在APT研究中，永远不能消除虚假标志的可能性，但Lazarus组织在以前的黑客攻击中遗留下来的大量实质性线索，加上美国和朝鲜两国之间的政治紧张关系局势的升级，这一系列网络攻击的幕后操纵者的身份画像相当清晰。

最后的思考

Lazarus组织使用的技术和战术在最近的攻击中变化不大，工具复用和基础设施重叠的证据也显而易见。这些威胁行为者在被发现和公开曝光后，仍在继续行动，由此可以推断，他们很可能将继续开展网络攻击，并实施有针对性的攻击活动。

IOCs

SHA256 

4d4465bd9a57c7a3c0b80fa3282697554a1419794afa36e544a4ae06d60c1615

f390ef86a4ad92dde125c983e6470f08344b9eaa14c17a1e6c4bb7ebfa7c4ec9

acfae7e2fdda02e81b3e03f8c30741744d629cd672db424027f7caa59c975897

7429a6b6e8518a1ec1d1c37a8786359885f2fd4abde560adaef331ca9deaeefd

e09224a24a14a08c6fcb79b00b4a7b3097c84f805f5f2adefe2f7d04d7b4a8ee

062aadf3eb69686f4881860d88ce472e6b1c07e1f586d840dd2ee1f7b76cabe7

c63a415d23fc4ab10ad3acfdd47d42b5c7444604485ab45147277cca82fffb34

16c3a7f143e831dd0481d2d57aae885090e22ec55cc8282009f641755d423fcd

de2d458c8e4befcd478a0010789d80997793790b18a347d10a595d6e87d91f34

2f133525f76ab0ebb0b370601673361253074c337f0b0895d0f0cb5bc261cfcb

e83a08bcb4353bfd6edcdedbc9ead9ab179a620e15155b60d18153bed9892f38

6f673981892701d42159489c1b2614c098a04e4674b23e1cd0fd8911766e71a0

ad075279d2ee6958105889d852e0d7f4266f746cb0078ac1b362f05a45b5828d

1288e105c83a6f4bbad8471a9b5bedafeea684a8d8b73a1a7518137d446c2e1e

IPv4

104.192.193[.]149

176.35.250[.]93

213.152.51[.]169

108.222.149[.]173

197.246.6[.]83

118.140.97[.]6

210.202.40[.]35

59.90.93[.]97

107.6.12[.]135

URLs

http://210.202.40[.]35/CKRQST/event/careers/jobs/description/docs/NGC1398.doc

http://210.202.40[.]35/CKRQST/Company/HR/Position/lm/L1915.doc

http://104.192.193[.]149/Event/careers/jobs/description/docs/LJC077.doc

http://lansingturbo[.]org/docs/WebDAV.exe