Lazarus黑客利用CookiePlus恶意软件攻击核电部门

最近，卡巴斯基观察到了一次类似的攻击，Lazarus组织在一个月内向至少两名与同一核相关组织有关联的员工发送了包含恶意文件的存档文件。在调查了这次攻击后，他们发现了一个复杂的感染链，其中包括多种类型的恶意软件，例如下载器、加载器和后门，这表明该组织的传播方式和持久性方法已经进化。

关键发现

重点转向核工业 ：与朝鲜有联系的Lazarus集团已将目标转向核工业，这标志着其先前对国防、航空航天和加密货币的关注可能升级。

继续虚假招聘策略 ：他们的攻击发生在2024年1月，利用虚假招聘信息 (Operation DreamJob) 发送伪装成工作评估的恶意文件，从而获取受害者系统的访问权限。

先进的恶意软件技术 ：该组织使用了Ranid Downloader等复杂工具以及新型基于插件的恶意软件“CookiePlus”，这些恶意软件在内存中运行，使安全系统更难检测到。

复杂的漏洞利用链 ：Lazarus继续改进其策略，利用Google Chrome零日漏洞等漏洞，并利用 macOS 上的“RustyAttr”等创新恶意软件。

Lazarus组织的日益复杂和活跃凸显了加强网络安全措施的必要性，特别是在敏感行业。

精心设计的“梦想工作行动”

该组织最近特别活跃。最近的攻击发生在2024年1月，遵循使用虚假招聘信息的模式，这种策略被称为“死亡笔记”活动或“梦想工作行动”。这类诈骗包括创建虚假的招聘信息，用诱人的就业机会引诱潜在受害者。在“面试”过程中，恶意文件会巧妙地被引入，通常伪装成合法的评估测试。

2023年11月，Group-IB发现了Lazarus组织的新木马“RustyAttr”，该木马将恶意代码隐藏在macOS系统的扩展属性中；2023年10月，该组织利用Google Chrome零日漏洞，通过一款欺骗性的NFT游戏瞄准加密货币投资者。

攻击以伪装成知名公司职位评估的初始文件开始，其中包含带有恶意可执行文件或 VNC 查看器等木马合法工具的ZIP存档。

一旦执行，该木马就会提示受害者通过单独的通信渠道（如Messenger应用）输入攻击者提供的IP地址。这让攻击者能够未经授权访问受感染的机器，使他们能够在网络中横向移动，并可能窃取敏感数据或破坏关键操作。

根据IP地址生成XOR密钥，以解密VNC可执行文件的内部资源并解压数据。解压后的数据随后由Ranid Downloader下载，后者会获取更多恶意负载，例如 MISTPEN、RollMid、LPEClient、Charamel Loader、ServiceChanger和CookiePlus。负载类型（DLL或shellcode）由数据结构中的标志决定。这些插件的执行结果将被加密并发送回C2服务器。

最新恶意软件CookiePlus曝光

近期攻击的一个关键创新是引入了“CookiePlus”，这是一种新型的基于插件的恶意软件。此下载程序主要在内存中运行，动态加载恶意负载。这种规避技术使传统安全解决方案更难检测和缓解威胁。

CookiePlus由ServiceChanger和Charamel Loader加载，能够下载DLL和shellcode。它最初被伪装成开源Notepad++插件ComparePlus，显示该组织通过模仿公共设施逃避防御。CookiePlus作为下载程序，功能有限，仅传输少量信息至C2服务器。在与C2的通信中，CookiePlus生成包含ID、偏移量和步进标志的数据数组，使用硬编码的RSA公钥加密并Base64编码，作为HTTP标头中的cookie值传递。CookiePlus还能从C2接收加密有效负载，使用Base64解码并ChaCha20解密，根据载荷类型（PE或shellcode）执行相应操作。若为DLL，CookiePlus将其加载到内存；若为shellcode，检查大小后执行，并把结果加密发送给C2。

CookiePlus加载的三个shellcode实为DLL，功能包括收集计算机信息、使主模块休眠及写入配置文件。这些DLL作为插件执行后，结果加密发送给C2。CookiePlus被认为是MISTPEN的继承者，尽管代码无明显重叠，但有伪装和插件使用的相似之处。Lazarus组织的C2基础设施主要基于受感染的WordPress服务器，CookiePlus样本在2024年6月编译使用，而最新MISTPEN样本则在同年1月和2月编译，显示两者可能的关联。