【高级持续性威胁追踪】当黑客不讲武德，安全专家也容易被骗

漏洞研究者是大家心目中的安全专家，然而当安全专家的心理弱点被不讲武德的黑客利用，专家电脑上高价值的智力资产就会处于危险的境地，然而更危险的是这些本用于研究目的信息中如果存在可被武器化的内容，就导致研究人员无意中成为这些黑客的帮凶。

事件影响

26日，谷歌威胁分析小组披露了[1]一系列来自东北亚某国黑客组织的针对安全研究人员(尤其是漏洞研究人员)的攻击活动。攻击者使用疑似Lazarus APT组织的攻击基础设施，结合非常具有迷惑性的社工操作，骗取受害者信任，并可能以盗取安全公司电脑上的高价值漏洞研究资料达到攻击目的。目前国内已有一定数量的安全研究人员受到这个组织的欺骗，其研究电脑的敏感信息泄露。

技巧攻击

攻击者为了与安全研究者建立互信并保持联系，首先会在一些社交媒体上发布一些漏洞研究博客和Twitter，吸引相关研究者的关注。其已知的攻击策略有两种：

(1)在Twitter上进行一段时间的技术交流获得研究者信任后，攻击者会询问研究人员是否愿意开展合作研究，并向受害研究人员提供一个经过PGP加密的所谓“开展漏洞研究的VS源码项目”。其中在编译配置文件中调用了一段powershell脚本，加载了第一阶段的恶意DLL，进行一系列持久化配置在受害的研究者电脑建立后门，并与其C2服务建立连接，成为一个被控的目标。

(2)攻击者Twitter会链接到他们搭建的以漏洞研究博客为内容却包含疑似漏洞利用恶意代码的水坑站点。当受害者浏览相关页面时，其电脑将被安装一个恶意服务，并启动一个内存后门程序，开始与攻击者的C2建立连接，成为一个被控的目标。

在此，攻击者利用了安全研究人员的 多个心理弱点 ：

(1)研究者往往以为攻击者是个安全研究同行，且攻击者并不像其他漏洞贩子那样有金钱诉求，并在github上有长达近一年的持续内容更新，导致研究者降低了心理防御；

(2)漏洞研究者收到的攻击者的VS代码看来是明文，而研究者往往忽视对待编译代码配置文件的审计，意识不到编译过程中恶意代码就会执行；

攻击溯源

对比Lazarus组织2020年9月的攻击活动，从攻击者使用的C2域名，攻击技巧和恶意代码，可发现本次攻击事件Lazarus APT组织具有较大关联性。

（1）在基础设施上，有与Lazarus关联的C2

（www.dronerc[.]it ，www.fabioluciani[.]com ），且使用的url有很大相似性：

（2）在攻击手法上，通过rundll32 加载恶意文件，传入16位随机字符串解密密钥“5I9YjCZ0xlV45Ui8”，payload命名方式（都以db为后缀），也与Lazarus组织2020年9月攻击活动的手法相似：

（3）对比相关payload文件，其数据解密部分，反射注入部分代码结构及代码数量方面具有很大的相似性：

技术分析详情

千里目高级威胁研究团队对相关恶意代码的分析显示其攻击的技术流程如下：

攻击链1

(1)本次攻击者通过在VS项目中设置预构建事件命令，通过rundll32执行VS项目中附带的恶意64位的dll文件，编译时间戳为2020年12月19日(文件名Browse.VC.db，事实上是一个PE)：

伪装成微软的组件程序：

截止到北京时间2021年1月26日下午18点，google发布预警数小时后，VT上也仅有15个引擎能够检出。

(2)调用导出函数，使用RC4解密出驻留文件夹路径、文件名称、注册表项等：

C:\ProgramData\VirtualBox\

C:\\Windows\\System32\\rundll32.exe 
C:\\\\ProgramData\\\\VirtualBox\\\\update.bin,ASN2_TYPE_new 5I9YjCZ0xlV45Ui8 4113

C:\ProgramData\VirtualBox\update.bin

(4)该加载器在内存解密新的dll，并且反射加载，传递固定参数4113

hxxps://codevexillium.org/image/download/download.asp
hxxps://angeldonationblog.com/image/upload/upload.php

与C2进行数据通信，目前相关页面已经被删除

攻击链2

根据Google安全报告以及安全人员反馈，该攻击者还疑似使用chrome浏览器0day漏洞对目标进行攻击。攻击成功会在其相关注册表留下被加密的payload，并且释放一个伪造为驱动文件的DLL文件创建服务进行驻留（如helpsvc.sys）。

其创建的两条注册项分别为

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

其中注册表中保存着相关payload的加密数据

其拥有如下导出函数ServiceMain，调用并且注册服务

HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\KernelConfig

读取Description值，其为加密的payload数据

解密读取的数据为一个远控DLL文件，释放器会进行反射注入并且调用

https://www.dronerc.it/shop_testbr/Core/upload.php
http://www.trophylab.com/notice/images/renewal/upload.asp

事件背景详情

为方便读者理解事件背景，我们将谷歌预警的原文翻译如下，部分敏感内容被打码，有兴趣的读者可以阅读原始链接：

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers

1 背景详情：谷歌预警原文

在过去的几个月里，Threat Analysis Group发现了一个针对漏洞研究和开发人员的定向攻击活动，被攻击者分布在多个公司和组织。目前，通过溯源已经确定，本次攻击活动背后的攻击者来自于一个由****支持的组织，该组织使用了多种攻击技术和手段发起本次定向攻击活动。攻击者控制的站点和账户详情请参阅附录。

为警醒本领域的研究人员，我们对该攻击事件进行了系统分析，并发布本文，以提醒安全研究人员，他们也已经成为定向攻击的目标。当他们与陌生人针对一些安全问题进行互动时，必须保持足够的警惕。否则，即使你是从事安全研究的人员，你也可能会“中招”。

在本次攻击活动中，攻击者为了与安全研究者建立互信并保持互动联系，首先会在一些社交媒体上发布一些研究博客和Twitter，从而构建起一个从事安全研究的个人账户，以此吸引潜在的目标对象前来访问。攻击者会在他们的Twitter帐户下发布博客，以及他们所宣称的漏洞利用视频，并转发其它一些受他们控制帐户的帖子，如图1所示。

图1 攻击者控制的Twitter账户(Actor controlled Twitter profiles)

攻击者发布的博客中，通常会包含一些针对已公开漏洞的分析和报道，并且这些博客还会包含来自于一些不知情的合法安全研究人员的跟帖，以最大限度地与其他研究人员建立起互信关系。攻击者发布的一个针对公开漏洞的分析博客如图2所示。

图2 攻击者发布的针对一个公开漏洞的分析博客示例 (Example of an analysis done by the actor about a publicly disclosed vulnerability.)

通常情况下，我们很难全面验证攻击者所发布视频中所涉及到的漏洞的真实性，也难以验证漏洞是否可用，但攻击者已经在至少一个视频中，伪造了他们成功利用所宣称可用漏洞的场景。2021年1月14日，攻击者在Twitter上分享了一个YouTube视频，宣称利用了漏洞CVE-2021-1647，并宣称该漏洞是一个最近刚被打补丁的Windows Defender漏洞。在视频中，他们演示了一个利用该漏洞生成cmd.exe的shell程序。但是，YouTube上发布的多条评论说，该视频是假的，该漏洞并非如视频中所展示，而是发布者伪造出来的。针对这些评论，攻击者利用他们所控制的另外一个Twitter账户来转发原文，并声称该视频是真的。

图3 展示攻击者漏洞利用的Tweets(Tweets demonstrating the actors' “exploits”)

在本次攻击活动中，攻击者使用了一种新型的社会工程攻击手段，来针对特定的安全研究人员发起定向攻击。在建立初始的通信联系之后，攻击者就会询问被攻击研究人员是否愿意合作开展漏洞研究，并向被攻击者提供一个Visual Studio程序包。该程序包中包含一些开展漏洞利用的源程序，并附带一个通过Visual Studio编译过程而运行的DLL文件。该DLL文件是一个定制的恶意程序，一旦执行就会与攻击者控制的C2服务建立连接。下图所示为VS编译事件所生成的image文件，其中可以看到编译过程会运行的Powershell脚本。

图4 当编译攻击者提供的VS项目程序时执行的编译指令(Visual Studio Build Events command executed when building the provided VS Project files)

除了向定向用户发起社会工程攻击之外，我们还发现了另外几种当受害研究人员访问攻击者博客之后被攻击的方式。其中一种攻击方式为，当受害者点击blog.br0vvnn.io上发布的一篇文章时，受害者的电脑系统中就会在此后不久安装一个恶意的服务，并会启动一个内存后门程序，开始与攻击者控制的C2服务建立通信连接。在此访问期间，受害者电脑上运行的Chrome浏览器和Windows 10系统都是最新的，并且都已安装了最新的补丁。目前，该攻击过程所用的攻击机制尚未明确。Chrome官方也发布消息，欢迎任何研究人员提交漏洞在野利用信息。

分析发现，攻击者使用了多个平台与潜在攻击对象进行沟通联系，包括Twitter、LinkedIn、Telegram、Discord、Keybase及邮件Email。本文的附录中列出了已知的攻击者所用的账户和别名。如果各位读者与这些账户进行了沟通，或者访问了他们的博客，我们建议您尽快基于我们所列的IOC检查一下自己的系统是否中招。截至目前，我们仅发现了这些针对Windows系统发起定向攻击的攻击者。

如果你担心以后可能会被定向攻击，我们建议使用分开的物理机或虚拟机来分别开展研究活动，包括浏览网络，与其他研究者交流，接收第三方文件，及开展自己的安全研究等。

攻击相关IoC

攻击者控制的网站和帐户

(1)用于水坑攻击的“安全研究博客”：

https://blog.br0vvnn[.]io

(2)攻击者Twitter账号：

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g

(3)攻击者LinkedIn账号：

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

(4)攻击者Keybase：

https://keybase.io/zhangguo

(5)攻击者Telegram：

https://t.me/james50d

(6)样本Hashes：

https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)

https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)

https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL)

https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)

https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Service DLL)

(6)攻击者C2域名：

angeldonationblog[.]com

codevexillium[.]org

investbooking[.]de

krakenfolio[.]com

opsonew3org[.]sg

transferwiser[.]io

transplugin[.]io

(7)被攻击者利用作C2 域名的被攻陷的合法站点：

trophylab[.]com

www.colasprint[.]com

www.dronerc[.]it

www.edujikim[.]com

www.fabioluciani[.]com

(8)C2 URLs：

https[:]//angeldonationblog[.]com/image/upload/upload.php

https[:]//codevexillium[.]org/image/download/download.asp

https[:]//investbooking[.]de/upload/upload.asp

https[:]//transplugin[.]io/upload/upload.asp

https[:]//www.dronerc[.]it/forum/uploads/index.php

https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php

https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php

https[:]//www.edujikim[.]com/intro/blue/insert.asp

https[:]//www.fabioluciani[.]com/es/include/include.asp

http[:]//trophylab[.]com/notice/images/renewal/upload.asp

http[:]//www.colasprint[.]com/_vti_log/upload.asp

(9)受害者主机IOCs：

注册表键值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update

文件路径：

C:\Windows\System32\Nwsapagent.sys

C:\Windows\System32\helpsvc.sys

C:\ProgramData\USOShared\uso.bin

C:\ProgramData\VMware\vmnat-update.bin

C:\ProgramData\VirtualBox\update.bin

参考文献

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers

深信服千里目安全实验室