فريق المخترقين lazarus من شمال كوريا يهاجم من جديد شركة برمجيات
مقدمة
السلام عليكم و رحمة الله و بركاته بسم الله و الصلاة و السلام على رسول الله محمد صلى الله عليه و سلم كيف حالك يا صديقي قام الفريق الكوري lazarus بهجوم جديد كجزء من سلسلة قام بها في هذا العام مستغلا ثغرات معلن عنها مسبقا من الشركات و لكن للأسف لم تقم الشركة المستهدفه من عمل الupdates و الpatches الموصى بها و لقد استغلوا ايضا برنامج تابع لشركة قاموا مسبقا باختراقها و كان هذا منذ منتصف عام 2022
مختصر عن الهجوم
قام الفريق الكوري lazarus بهجوم في منتصف 2022 على شركة برمحيات و تكرر الهجوم مره اخرى على نفس الشركه في اوائل 2023 و استغلوا الثغرات في هذه الشركه بإيصال الهجوم الخاص بهم لشركة برمجيات اخرى تستخدم المنتج الذي تقدمه الشركة الاولى و المشترك في كل هذا استخدام malware SIGNBT و لقد رأينا في هذا الهجوم أيضا استخدام ل LPEClient و من المتوقع أن الهجوم كان الغرض منه سرقة الكود المصدري (source code)أو العبث بسلسلة إمداد البرنامج (software supply chain) و كان السبب في هذا الهجوم هو استغلالهم لثغرات في برامج مستخدمه لدى الشركة المستهدفة و هذه الثغرات مكتشفه من قبل و تم الإعلام بأهمية تحديثها و لكنهم لم يقوموا بالتحديث وعمل patching لها
تفصيل لعملية الاختراق
قام الفريق الكوري lazarus باستهداف أولا شركة برمجيات و كان هذا عن طريق موجتين من الهجوم بداية من منتصف 2022 الى اوائل 2023 و منها استطاعوا استغلال الثغرات لاختراق شركتنا اليوم و هي شركة تقوم ببرمجة تطبيق لتشفير الاتصال على الشبكة و كان هذا الهجوم باستخدام الSIGNBT و طريقة الدخوله الاولى مازالت غير معلومه و لكن تم اكتشاف انهم استخدموا SIGNBT ليضمن لهم الاستمرارية و البقاء في الاجهزة و القيام بمهام يقوم بها الBACKDOOR و منها استخدموه ليوصل LPEClient للضحية مع كون انه تم استخدامه مسبقا في عدة هجمات من هذا الفريق التي استهدفت مهندسين بعينهم في مجال الطاقه النوويه و اخرين في مجال الأسلحة و مجلات العملات الرقمية
و ايضا قاموا بتطوير اشياء على الLPEClient ليتخطي أجهزة الدفاع و الاكتشاف
الرحلة من SIGBNT إلى LPEClient في الهجوم :
نجد انهم يقومون باستخدام وسائل مختلفه لضمان استمراية وجودهم منها انهم يقومون بوضع ملف ualapi.dll في ملف الsystem و يتم تشغيله تلقائيا كلما تم تشغيل الجهاز باستخدام الspoolsv.exe و بضع الوسائل الأخرى موضحة هنا
نجد أنهم استخدموا اسلوب ليس جديد عليهم و هو ان يزرعوا بضع الfunctions الخبيثة في ملف معروف مفتوح المصدر و نتكلم هنا يا صديقي عن ualapi.dll و الذي استخدموا فيه shareaza و نجد أنه يقوم اولا بالتعرف على الضحية فإن كان هذا جهاز الضحية الذي يريدها يكمل عمله و هذا بعمل مقارنة مع الmachine guid الذي يقوم باستخراجه من الregistry keys مع القيمه المخزنه بداخله يقوم بتحديد التسلسل 43 EB 8C BD 1D 98 3D 14 ثم يقرأ الDWORD مباشرة ثم يقوم بعملية تحميل الSIGNBT على جهاز الضحية و يقوم بتحميل بيانات هامه لعمله منها عناوين ثلاث خوادم للC2 و فترات سكونه و معلومات عن الأهداف و غيرها و نجده يتواصل مع الC2 باستخدام مجموعه من الاوامر المميزة الخاصة به و هي
Prefix name |
Description |
SIGNBTLG |
Initial connection. |
SIGNBTKE |
Success – update the key and ask for a profiling process. |
SIGNBTGC |
Ask for commands. |
SIGNBTFI |
Operation failed. |
SIGNBTSR |
Operation success. |
ثم بعد ذك يقوم بعمل قيمة مكونة من 24BIT- التي يستخدمها بعد ذلك في العديد من الاشياء اهمها التواصل مع الC2 بطريقة مشفرة لتجعله من الصعب تحليل الاتصال بينه و بين الC2
ثم ييرد عليه الC2 بطريقه مشفره ايضا ثم بعد ذلك نجده يتم إرسال الأوامر للSIGNBT و منها الfunctions التي سيستخدمها و التي مشابهه للاموامر المعتاده على الcli و هي كالاتي
Class name |
Function name |
CCBrush |
getInfo, testConnect, setSleep, setHibernate, sendConfig, setConfig |
CCList |
getProcessList, processKill, runFile, runAsUser, injectDll, freeDll |
CCComboBox |
getDriveList, getFileDir, changeFileTime, secDelete, folderProperty, changeFileName, makeNewFolder |
CCButton |
startDownload, upFile, selfMemload, scrCapture |
CCBitmap |
ping, netshAdvfirewall, netstat, reg, sc, whoami, arp, nslookup, systeminfo, ipconfig, net, ver, wmic, deploy, copy |
ثم بعد ذلك يقوم بتحميل LPEClient عند الضحية و غيرها من الادوات الاخرى
و للإختصار هذا توضيح لعملية الاتصال
و نجد الLPEClient تم استخدامه في مرات اخرى من نفس الفريق
نبذة عن الـ IOC
SIGNBT loader
9cd90dff2d9d56654dbecdcd409e1ef3 %system%\ualapi.dll
88a96f8730b35c7406d57f23bbba734d %system%\ualapi.dll
54df2984e833ba2854de670cce43b823 %system%\ualapi.dll
Ae00b0f490b122ebab614d98bb2361f7 %system%\ualapi.dll
e6fa116ef2705ecf9677021e5e2f691e
31af3e7fff79bc48a99b8679ea74b589 C:\GoogleD\Coding\JS\Node\winhttp.dll
SIGNBT
9b62352851c9f82157d1d7fcafeb49d3
LPEClient
3a77b5054c36e6812f07366fb70b007d %systme%\wbem\wbemcomn.dll
E89fa6345d06da32f9c8786b65111928 %ProgramData%\Microsoft\Windows\ServiceSetting\ESENT.dll
File path
C:\GoogleD\Coding\JS\Node\SgrmLpac.exe
C:\GoogleD\Coding\JS\Node\winhttp.dll
C:\Windows\system32\config\systemprofile\appdata\Local\tw-100a-a00-e14d9.tmp
C:\Windows\system32\config\systemprofile\appdata\Local\tw-100b-a00-e14d9.tmp
C:\ProgramData\ntuser.008.dat
C:\ProgramData\ntuser.009.dat
C:\ProgramData\ntuser.001.dat
C:\ProgramData\ntuser.002.dat
C:\ProgramData\Microsoft\Windows\ServiceSetting\ESENT.dll
C2 servers
hxxp://ictm[.]or[.]kr/UPLOAD_file/board/free/edit/index[.]php
hxxp://samwoosystem[.]co[.]kr/board/list/write[.]asp
hxxp://theorigin[.]co[.]kr:443/admin/management/index[.]php
hxxp://ucware[.]net/skins/PHPMailer-master/index[.]php
hxxp://www[.]friendmc[.]com/upload/board/asp20062107[.]asp
hxxp://www[.]hankooktop[.]com/ko/company/info[.]asp
hxxp://www[.]khmcpharm[.]com/Lib/Modules/HtmlEditor/Util/read[.]cer
hxxp://www[.]vietjetairkorea[.]com/INFO/info[.]asp
hxxp://yoohannet[.]kr/min/tmp/process/proc[.]php
hxxps://admin[.]esangedu[.]kr/XPaySample/submit[.]php
hxxps://api[.]shw[.]kr/login_admin/member/login_fail[.]php
hxxps://hicar[.]kalo[.]kr/data/rental/Coupon/include/inc[.]asp
hxxps://hspje[.]com:80/menu6/teacher_qna[.]asp
hxxps://kscmfs[.]or[.]kr/member/handle/log_proc[.]php
hxxps://kstr[.]radiology[.]or[.]kr/upload/schedule/29431_1687715624[.]inc
hxxps://little-pet[.]com/web/board/skin/default/read[.]php
hxxps://mainbiz[.]or[.]kr/SmartEditor2/photo_uploader/popup/edit[.]asp
hxxps://mainbiz[.]or[.]kr/include/common[.]asp
hxxps://new-q-cells[.]com/upload/newsletter/cn/frame[.]php
hxxps://pediatrics[.]or[.]kr/PubReader/build_css[.]php
hxxps://pms[.]nninc[.]co[.]kr/app/content/board/inc_list[.]asp
hxxps://safemotors[.]co[.]kr/daumeditor/pages/template/template[.]asp
hxxps://swt-keystonevalve[.]com/data/editor/index[.]php
hxxps://vnfmal2022[.]com/niabbs5/upload/gongji/index[.]php
hxxps://warevalley[.]com/en/common/include/page_tab[.]asp
hxxps://www[.]blastedlevels[.]com/levels4SqR8/measure[.]asp
hxxps://www[.]droof[.]kr/Board/htmlEdit/PopupWin/Editor[.]asp
hxxps://www[.]friendmc[.]com:80/upload/board/asp20062107[.]asp
hxxps://www[.]hanlasangjo[.]com/editor/pages/page[.]asp
hxxps://www[.]happinesscc[.]com/mobile/include/func[.]asp
hxxps://www[.]healthpro[.]or[.]kr/upload/naver_editor/subview/view[.]inc
hxxps://www[.]medric[.]or[.]kr/Controls/Board/certificate[.]cer
hxxps://www[.]muijae[.]com/daumeditor/pages/template/simple[.]asp
hxxps://www[.]muijae[.]com/daumeditor/pages/template/template[.]asp
hxxps://www[.]nonstopexpress[.]com/community/include/index[.]asp
hxxps://www[.]seoulanesthesia[.]or[.]kr/mail/mail_211230[.]html
hxxps://www[.]seouldementia[.]or[.]kr/_manage/inc/bbs/jiyeuk1_ok[.]asp
hxxps://www[.]siriuskorea[.]co[.]kr/mall/community/bbs_read[.]asp
hxxps://yoohannet[.]kr/min/tmp/process/proc[.]php
أساليب MITRE ATT&CK المستخدمة:
Tactic |
Techniques |
Initial Access |
T1189 |
Execution |
T1203 |
Persistence |
T1547.012, T1574.002 |
Privilege Escalation |
T1547.012 |
Defense Evasion |
T1140, T1574.002, T1027.001, T1027.002, T1620 |
Credential Access |
T1003.001 |
Discovery |
T1057, T1082, T1083 |
Collection |
T1113 |
Command and Control |
T1071.001, T1132.002, T1573.001 |
Exfiltration |
T1041 |
خاتمة
و هكذا يا صديقي طوفنا حول الخبر و ملابساته و تعلمنا بعض الأشياء التقنية أسأل الله أن تنفعك إن وفقت فمن الله و إن أخفقت فمن عملي و عمل الشيطان نعوذ بالله من الشيطان الرجيم و أذكركم بالدعاء لإخوانكم في فلسطين و تعلم القضيه و أنها عقيدة و دين و ليست مسألة أرض و حدود و تذكرلا تتهاون او تخف أبدا من نصرة إخوانك قال رسول الله صلى الله عليه و سلم : إنَّ المُؤْمِنَ لِلْمُؤْمِنِ كَالْبُنْيَانِ يَشُدُّ بَعْضُهُ بَعْضًا. وشَبَّكَ أصَابِعَهُ. الراوي : أبو موسى الأشعري | المحدث : البخاري | المصدر : صحيح البخاري الصفحة أو الرقم: 481 | خلاصة حكم المحدث : [صحيح] و أنصحك بأن تفكر هل الحياة مجرد لعبة ؟ مالغرض من هذه الحياة ؟ إنها رحلة عليك أن تسأل من وضعني في هذه الرحله و لماذا انا هنا و إلى أين تتجه رحلتي ؟ و الوجهه تعتمد عليك و من وضعك فهو خالقك سبحانك خلقك في هذه الحياة و لماذا ؟ أجاب سبحانه في القران الكريم كلامه بصوت و حرف و ليس كمثله شئ و هو السميع البصير قال وَمَا خَلَقْتُ الْجِنَّ وَالْإِنسَ إِلَّا لِيَعْبُدُونِ
المصادر
A cascade of compromise: unveiling Lazarus’ new campaign
N. Korean Lazarus Group Targets Software Vendor Using Known Flaws