SharkTeam：起底朝鲜APT组织Lazarus Group，攻击手法及洗钱模式

国家级 APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专门针对特定目标进行长期的持续性网络攻击。朝鲜 APT 组织 Lazarus Group 就是非常活跃的一个 APT 团伙，其攻击目的主要以窃取资金为主，堪称全球金融机构的最大威胁，近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。

一、Lazarus Group

据维基百科资料，Lazarus Group 成立于 2007 年，隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心，专门负责网络战。该组织分为 2 个部门，一个是大约 1700 名成员的 BlueNorOff（也称为 APT 38），负责通过伪造 SWIFT 订单进行非法转账，专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪，此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel，以韩国为攻击目标。

已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击，原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。

该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案，他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易（2000 万美元追踪到斯里兰卡， 8100 万美元追踪到菲律宾）后，纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。

自 2017 年以来，该组织开始对加密行业进行攻击，并获利至少 10 亿美元。

二、技战法分析

2.1 常用攻击手法分析

Lazarus 早期多利用僵尸网络对目标进行 DDos 攻击；目前主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法，还针对不同人员采取定向社会工程学攻击。

战术特征：

（1）使用邮件鱼叉攻击和水坑攻击

（2）攻击过程会利用系统破坏或勒索应用干扰事件的分析

（3）利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放

（4）攻击银行 SWIFT 系统实现资金盗取

技术特征：

（1）使用多种加密算法，包括 RC 4 ，AES， Spritz 等标准算法，也使用 XOR 及自定义字符变换算法

（2）主要使用虚假构造的 TLS 协议，通过在 SNI record 中写入白域名来 Bypass IDS。也使用 IRC、HTTP 协议

（3）通过破坏 MBR、分区表或者向扇区写入垃圾数据从而破坏系统

（4）使用自删除脚本

攻击手段：

（1）鱼叉攻击：鱼叉攻击是计算机病毒术语，是黑客攻击方式之一。将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。Lazarus 通常以邮件夹带恶意文档作为诱饵，常见文件格式为 DOCX，后期增加了 BMP 格式。入侵方式主要利用恶意宏与 Office 常见漏洞、 0 day 漏洞、植入 RAT 的手法。

（2）水坑攻击：顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”，最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。Lazarus 通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击，这样就可以在短时间内大范围盗取资金。2017 年，Lazarus 对波兰金融监管机构发动水坑攻击，在网站官方网站植入恶意的 JavaScript 漏洞，导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织，大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。

（3）社工攻击：社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus 擅长将社工技术运用到攻击周期中，无论是投递的诱饵还是身份伪装，都令受害者无法甄别，从而掉入它的陷阱中。2020 年期间，Lazarus 在领英网站伪装招聘加密货币工作人员并发送恶意文档，旨在获取凭证从而盗取目标加密货币。2021 年，Lazarus 以网络安全人员身份潜伏在 Twitter 中，伺机发送嵌有恶意代码的工程文件攻击同行人员。

武器库：